Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Obi-Lan]

Suojaamaton netti pitää viedä virtuaalialustalle ja virtuaalialustan läpi virtuaalimuurin untrust puolelle. Ei se tekemätön paikka ole, mutta mahdollisuudet virheille ja tietoturha-aukoille kasvavat.

 

[a85]

Kotiverkon päivitys meneillään ja ajattelin jos sitä jo vanhan Cisco Small Business purkin heivais mäkeen kun ei siihen ole päivityksiäkään tullut enää vuosiin.. alkaa varmaan oleen jo melko reikäjuustoa..

Ajattelin että laittais rautaa jonka päällä ajais pfSenseä, pihole, home assistant + pojalle minecraft servua kavereiden kanssa pelailuun. Nettiliittymä on 1000/100 kaapeli. Minisforum EliteMini HM90 kattelin alustaksi, ois Ryzen 9 4900H (8c/16t) ja tuohon vaikka 16gigaa muistia kaveriksi. Riittääköhän vääntö noille hyvin? Tuossa raudassa olis kaks LAN porttia, 1x1G ja 1x2.5G, sais WAN + LAN portit erilleen, ei tartte VLANien kanssa pelata.. Kommentteja?

Proxmoxi alustaksi ja sinne sitten VM pannuja ajoon.

Itselläkin kotilabran päivitys suunnitelmissa ja uusia Intelin NUCeja katsellut mutta saatavuudet on mitä on, mutta ilmeisesti tätä Minisforum EliteMini HM90 saisi jo nyt. Mistähän päin maailmaa tuo tulee, että tuleekohan tuohon hintaan päälle vielä verot?

 

[juuhokei]

Tuossa kannattaa sitten huomioida EliteMini HM90 kohdalla verkkopiiri, ilmeisesti Realtek jonka kanssa saattaa tulla ongelmia.

 

[mikajh]

pfSense CE 2.5.2->2.6.0 näyttää ok:lta, toki moni asia setupissa on vielä testaamatta.

Yksi bugi ei ole kadonnut minnekään, nimittäin Dashboard Traffic Graphs näyttää nopeudet puolitettuina. Dashboardin reload korjaa joksikin aikaa. Tämä voi olla esim. multi-WAN -setupissa pelkästään esiintyvä ongelma. Jos se esiintyisi kaikilla, niin olisi tietysti korjattu jo ajat sitten.

 

[Lamanka]

Innostuin toissa viikolla @escalibur YouTube-videoiden johdosta päivittämään kotiverkkoa ja viime viikko on mennyt kiroillessa
Aikamoinen urakka oli opiskelussa, vaikka ammattikoulussa on opiskeltu aikanaan elektroniikkaa ja tietoliikennetekniikka. Käytännössä ihan kaikki piti opiskella uudelleen. Ihan siis mitä tarkoittaa DNS, VLAN1, NIC jne.

Aluksi suunnitelmana ajaa pfsenseä uuden kotiserverin kautta VM:llä ja kahdella PCIe NIC:illä. Taisteltuani Proxmoxin ja Lenovon Vt-D/IOMMU:n kanssa pari päivää, totesin helpommaksi asentaa pfsensen vanhalle HP:n toimisto-PC:lle. Rautana i5-3550 ja 8Gb DDR3 ja yksi erillinen 1Gb NIC + alkuperäinen 1G NIC sekä tämän perässä Ubiquiti EdegeSwitch 10X.

Erittäin suurena apuna on ollut Lawrence System -kanava. Hyvin step-by-step tasoisesti ja avataan taustoja/syitä eri valikoista pfsensessä. Tätä voi suositella aloittelijoille

Lisäksi kiitos pitää antaa @escalibur selkeistä videoista ja kipinästä opiskeluun.

 

[A Lake Elk]

Oliko tää laite jo mainittu täällä? Inexpensive 4x 2.5GbE Fanless Router Firewall Box Review

• Intel Celeron J4125
• 4 x Intel 2.5GbE I225-V LAN
• 2 x USB3.0
• VGA/HDMI
• Fanless
• 8G RAM
• 256G SSD
• $378.99

Amazon

https://www.amazon.com/Firewall-Hardware-Security-Appliance-Barebone/dp/B09PHHVWZ8?linkId=e894fae271ec8d1975640a0a7300cc29&language=en_US

YouTube

 

[MOS6510]

Oliko tää laite jo mainittu täällä? Inexpensive 4x 2.5GbE Fanless Router Firewall Box Review

Verrattuna Fitlet 3:een:

Plussaa:
- 2.5 GbE Ethernet-liitännät
- Lievästi halvempi kuin Fitlet 3: Fitletin sivuilta vastaavalla kokoonpanolla määritelty laite $405 + rahti + tullit + alv
- Itse perusrunko ilman muisteja, levyä, mutta neljällä Ethernet-portilla maksaa $269 + rahti + tullit + alv vs. Fitlet3 x6425E $303 + rahti + tullit + alv

Miinusta:
- Selvästi hitaampi prosessori: Fitlet3 x6425E Passmark 4153, tämän laitteen J4125 Passmark 3003
- Suurempi kotelo - hankalampi sijoittaa pieneen laitekaappiin
- Täysin tuntematon Kiina-brändi
- Tuki on luultavasti mallia olematon vs. Fitlet, jolle saa mm. BIOS-päivityksiä ainakin 5 vuotta

Jos 2.5 GbE:n tuki ei ole välttämätön, on lienee selvää, että Fitlet3 on parempi valinta. Hankkimalla tämän Kiinan ihmeen saat hieman halvemmalla saa selvästi hitaamman laitteen, jonka tuen saanti on vähintäänkin epävarmaa.

 

[escalibur]

Oliko tää laite jo mainittu täällä? Inexpensive 4x 2.5GbE Fanless Router Firewall Box Review

• Intel Celeron J4125
• 4 x Intel 2.5GbE I225-V LAN
• 2 x USB3.0
• VGA/HDMI
• Fanless
• 8G RAM
• 256G SSD
• $378.99

Amazon

https://www.amazon.com/Firewall-Hardware-Security-Appliance-Barebone/dp/B09PHHVWZ8?linkId=e894fae271ec8d1975640a0a7300cc29&language=en_US

YouTube

Tuo lienee samaa copy-paste brändiä kuin Qotom, Protetcli jne joita on linkattu tänne aikaisemminkin. Tuossa linkkaamassa purkissa on ehkä turhan kova hinta, kun otetaan huomioon $378,99 + 24% alveja. Lisäksi 256GB SSD on rahan tuhlaamista palomuurikäytössä. Palomuurille riittää 16-32GB vallan mainioisti, kunhan levy ei toimi jonkun lokituksen säilytyslevynä tms. Itse ottaisin ~32GB:n SSD:n ja säästetyllä rahalla mielummin vaikka 8GB lisää muistia.

Muuten tuo on varmasti ihan pätevä laite, vaikka BIOSksen softatuki yms saattavat olla olemattomia. Antaisin tällekin anteeksi, jos purkki maksaisi puolet vähemmän.

ps. Mulla on suunnitteilla video pfSensen raudasta ja eri vaihtoehdoista plussineen ja miinuksineen.

 

[jsa]

Tuo lienee samaa copy-paste brändiä kuin Qotom, Protetcli jne joita on linkattu tänne aikaisemminkin. Tuossa linkkaamassa purkissa on ehkä turhan kova hinta, kun otetaan huomioon $378,99 + 24% alveja. Lisäksi 256GB SSD on rahan tuhlaamista palomuurikäytössä. Palomuurille riittää 16-32GB vallan mainioisti, kunhan levy ei toimi jonkun lokituksen säilytyslevynä tms. Itse ottaisin ~32GB:n SSD:n ja säästetyllä rahalla mielummin vaikka 8GB lisää muistia.

Taitaa saada EU:sta kanssa. https://www.amazon.de/Firewall-Hardware-Pfsense-Security-Appliance-2-5GbE-I225-V-J4125/dp/B09PHHXN9V

 

[kopsteri]

Kiinastahan tuo tulee.

HUNSN EU
Dispatched from China.

 

[jsa]

Kiinastahan tuo tulee.
HUNSN EU
Dispatched from China.

No niinpä näyttää, ehkä ne joskus saa oikean EU varastonkin

 

[user9999]

ASRock iBOX Mini PC fanless kone, jossa on 2 x Intel 2.5 Gigabit LAN.

ASRock Puts Intel's Alder Lake CPUs In To A Tiny iBOX Machine With Fanless Design

ASRock Industrial, a division of ASRock, has launched its new iBOX machines featuring Intel's Alder Lake CPUs in a Small Form Factor design.

wccftech.com

• Intel 12th Gen (Alder Lake-P) Core Processors
• 2 x 260-pin SO-DIMM up to 64GB DDR4 3200 MHz
• 6 x USB 3.2 Gen2, 2 x USB 2.0, 1 x M.2 Key M, 1 x M.2 Key E, 1 x COM, 1 x SATA3
• 2 x Intel 2.5 Gigabit LAN
• Supports Quad display, 1 x HDMI 2.0b, 3 x DP 1.4a (2 from Type C)
• TPM 2.0 onboard IC
• 19V/90W Power Adapter
• 171.8 x 50.05 x 109.45 mm, Fanless Embedded BOX PC

 

[kopsteri]

Tämä kyllä vaikutti erittäin mielenkiintoiselta. Tuohon pitäisi vielä 2.5G Switch investoida lisäksi mutta erittäin mielenkiintoinen julkaisu.

 

[CoreFusion]

Mitähän kautta noita tulee saataville ja milloin? Kun vaikuttaa industrial-kampe olevan...

 

[CoreFusion]

Taitaa saada EU:sta kanssa. https://www.amazon.de/Firewall-Hardware-Pfsense-Security-Appliance-2-5GbE-I225-V-J4125/dp/B09PHHXN9V

Tilasin tämän barebone-version nyt kuitenkin, 234e. 64gb SSD löytyy jo kotoa ylimääräisenä, pitää vielä muistit ostaa jostakin. Toimitusarvio purkille tuolla huhtikuun loppupuolella, laittelen sitten tänne viestiä kunhan saan laitteen asenneltua.

 

[CoreFusion]

Tilasin tämän barebone-version nyt kuitenkin, 234e. 64gb SSD löytyy jo kotoa ylimääräisenä, pitää vielä muistit ostaa jostakin. Toimitusarvio purkille tuolla huhtikuun loppupuolella, laittelen sitten tänne viestiä kunhan saan laitteen asenneltua.

Verkkiksen outletista nappasin 2x16gb setin muistia..

 

[juuhokei]

Verkkiksen outletista nappasin 2x16gb setin muistia..

No ei ainakaan tarvitse pelätä että loppuisi kesken OPNsensessä itsellä käytössä tällä hetkellä 320mb/2GB. Tosin ei muita plugineja kuin Wireguard ja muutenkin aika pieni verkko.

 

[kopsteri]

https://www.amazon.de/-/en/Upgraded-Firewall-Appliance-Compatible-Pfsense/dp/B09P3RVDJ3/ref=sr_1_3?crid=284VPRX9NBP4M&keywords=2%2C5%2Bgbe%2Bl%C3%BCfterloser%2Brouter&qid=1648189318&sprefix=2.5gbe%2Bfanless%2Brouter%2Caps%2C75&sr=8-3&th=1

Siinä ois yhtä varianttia tarjottavana amazonin toimittamana tuota 2.5gbe mallia.

 

[debuggeri]

ASRock iBOX Mini PC fanless kone, jossa on 2 x Intel 2.5 Gigabit LAN.

ASRock Puts Intel's Alder Lake CPUs In To A Tiny iBOX Machine With Fanless Design

ASRock Industrial, a division of ASRock, has launched its new iBOX machines featuring Intel's Alder Lake CPUs in a Small Form Factor design.

wccftech.com

• Intel 12th Gen (Alder Lake-P) Core Processors
• 2 x 260-pin SO-DIMM up to 64GB DDR4 3200 MHz
• 6 x USB 3.2 Gen2, 2 x USB 2.0, 1 x M.2 Key M, 1 x M.2 Key E, 1 x COM, 1 x SATA3
• 2 x Intel 2.5 Gigabit LAN
• Supports Quad display, 1 x HDMI 2.0b, 3 x DP 1.4a (2 from Type C)
• TPM 2.0 onboard IC
• 19V/90W Power Adapter
• 171.8 x 50.05 x 109.45 mm, Fanless Embedded BOX PC

Tuolla tarkemmissa spekseissä kyllä on ”1 x 1 Gigabit LAN, 1 x 2.5 Gigabit LAN”

ASRock Industrial - iBOX-1245UE

www.asrockind.com

 

[MOS6510]

Tilasin tämän barebone-version nyt kuitenkin, 234e. 64gb SSD löytyy jo kotoa ylimääräisenä, pitää vielä muistit ostaa jostakin. Toimitusarvio purkille tuolla huhtikuun loppupuolella, laittelen sitten tänne viestiä kunhan saan laitteen asenneltua.

234 eur + tullit + alv. Tuohan tulee tänne Kiinasta.

 

[CoreFusion]

234 eur + tullit + alv. Tuohan tulee tänne Kiinasta.

No amazonin qa-osiossa oli joku ruotsissa asuva kysellyt alveista ja tulleista ja oli vastattu että tuote toimitetaan ne maksettuna, eli ei tulisi lisäkuluja.. jäänee nähtäväksi kuinka tuo toteutuu..

 

[user9999]

Sophos palomuureissa kriittisiä haavoittuvuuksia. Olikos tuosta Sophosta versio, jonka voi itse asentaa johonkin koneeseen?

Critical Sophos Firewall vulnerability allows remote code execution

Sophos has fixed a critical vulnerability in its Sophos Firewall product that allows remote code execution. Tracked as CVE-2022-1040, the authentication bypass vulnerability exists in the User Portal and Webadmin areas of Sophos Firewall.

www.bleepingcomputer.com

 

[MOS6510]

Sophos palomuureissa kriittisiä haavoittuvuuksia. Olikos tuosta Sophosta versio, jonka voi itse asentaa johonkin koneeseen?

Täältä saa ilmaisen Sophos XG Home-version. Voin suositella.

Cybersecurity as a Service Delivered | Sophos

We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.

www.sophos.com

 

[escalibur]

pfBlockerNG-devel:sta on ilmestynyt v3.1.0_4

pfBlockerNG-devel v3.1.0_4 - Fix HTML duplication by BBcan177 · Pull Request #1155 · pfsense/FreeBSD-ports

Fix HTML duplication issue in DNSBL Tab.

github.com

Reddit - Dive into anything

www.reddit.com

 

[CoreFusion]

No amazonin qa-osiossa oli joku ruotsissa asuva kysellyt alveista ja tulleista ja oli vastattu että tuote toimitetaan ne maksettuna, eli ei tulisi lisäkuluja.. jäänee nähtäväksi kuinka tuo toteutuu..

Paketti lähtenyt maanantaina matkaan.. katotaas kuin käy tullien yms. kanssa

 

[user9999]

Tuli tilattua Netgate 1100 purkki. Tässä on nyt jokin SafeXcel Crypto, joka piti laittaa erikseen päälle.

Onneksi tuli 22.01 versiolla niin ei tarvitse asentaa uudelleen, jotta saisi ZFS käyttöön. ZFS on käytössä.

 

[dot1q]

Eksyin tuon Netgate 1100 perässä katsomaan mitäs muita valmispaketteja tuolla olikaan. 3100 olisi ollut tosi jeees näköinen laite. Muttei SFP uplinkiä.
Tuo Netgate 4100 olis kyllä oiken jepa laite. 2 x 10Gbps kykenevät "combo" uplinkportit (SFP+ / RJ45) ja lisäksi 4 x 2,5Gbps LAN portteja. Se vaan että kotihommissa vähän lähtee laukalle laittaa tuollainen käyttöön

 

[user9999]

Eksyin tuon Netgate 1100 perässä katsomaan mitäs muita valmispaketteja tuolla olikaan. 3100 olisi ollut tosi jeees näköinen laite. Muttei SFP uplinkiä.
Tuo Netgate 4100 olis kyllä oiken jepa laite. 2 x 10Gbps kykenevät "combo" uplinkportit (SFP+ / RJ45) ja lisäksi 4 x 2,5Gbps LAN portteja. Se vaan että kotihommissa vähän lähtee laukalle laittaa tuollainen käyttöön

Dustinilta tilasin tuon 1100 mallin. Siellä on myös listalla tuo uusi 4100 malli (Toimituspäivä tuntematon).

Tulos haulle: "netgate" | Dustinhome.fi

www.dustinhome.fi

Edit: 3100 malli ei ole enää kovin pitkäikäinen. EOL Date 2023-10-22. Ei ole myynnissä enää.

Product Lifecycle

Designing firewalls and gateway appliances to meet your security expectations.

www.netgate.com

 

[iccb]

Dustinilta tilasin tuon 1100 mallin. Siellä on myös listalla tuo uusi 4100 malli (Toimituspäivä tuntematon).

Tulos haulle: "netgate" | Dustinhome.fi

www.dustinhome.fi

Edit: 3100 malli ei ole enää kovin pitkäikäinen. EOL Date 2023-10-22. Ei ole myynnissä enää.

Product Lifecycle

Designing firewalls and gateway appliances to meet your security expectations.

www.netgate.com

Katos, näitähän on tullut Dustinille myyntiin.. On kyllä suhteessa rautaan kalliita, mutta toki pitää "maksaa" softan kehityksestä kanssa...
Tuo 4100 malli olisi kyllä kotiin mukava, jaksaisi 1000/100 kaapelissa hyvin...

 

[CoreFusion]

Paketti lähtenyt maanantaina matkaan.. katotaas kuin käy tullien yms. kanssa

Hollannissa tulossa ja viimeisin merkintä oli että vapautettu tullista.. jännää

 

[MOS6510]

Katos, näitähän on tullut Dustinille myyntiin.. On kyllä suhteessa rautaan kalliita, mutta toki pitää "maksaa" softan kehityksestä kanssa...
Tuo 4100 malli olisi kyllä kotiin mukava, jaksaisi 1000/100 kaapelissa hyvin...

Tuossa 4100-mallissa on Intel Atom C3338R - hidas 2-core-prossu. Miksi kukaan ostaisi tällaista kotiin, kun esimerkiksi 3.5x tehokkaamman Fitlet 3:n saa paljon halvemmalla?

 

[user9999]

Tuossa 4100-mallissa on Intel Atom C3338R - hidas 2-core-prossu. Miksi kukaan ostaisi tällaista kotiin, kun esimerkiksi 3.5x tehokkaamman Fitlet 3:n saa paljon halvemmalla?

Tuossa Intel C3338R server prossussa on Integrated Intel® QuickAssist Technology.

Product Specifications

quick reference guide including specifications, features, pricing, compatibility, design documentation, ordering codes, spec codes and more.

ark.intel.com

Tuota ei ole esim. uusimassa työpöytä prossussa (i9-12900K).

Product Specifications

quick reference guide including specifications, features, pricing, compatibility, design documentation, ordering codes, spec codes and more.

ark.intel.com

Hyötyä VPN jutuissa.

Hardware — Cryptographic Accelerator Support | pfSense Documentation

docs.netgate.com

Kotiin tuota Netgate 4100 mallia ei varmaan hirveästi osteta.
The Netgate 4100 is ideal for pro-home, small/medium businesses, or edge deployments that require flexible port configurations to support 1 to 2.5 Gbps WAN capabilities across (2) RJ45 copper / SFP fiber Combo WAN ports and (4) discrete, unswitched 2.5 Gbps RJ-45 ethernet LAN ports - all in a silent desktop form factor.

 

[iccb]

Tuossa 4100-mallissa on Intel Atom C3338R - hidas 2-core-prossu. Miksi kukaan ostaisi tällaista kotiin, kun esimerkiksi 3.5x tehokkaamman Fitlet 3:n saa paljon halvemmalla?

No saat valmistajan laitteen mikä taatusti toimii ja oli siinä jotain extraa, että päivitykset testattu paremmin toimivaksi, en löydä linkkiä siihen keskusteluun nytten. Ja on tuossa 2,5 gigan portit, sekä SFP portti, mitä ei fitletistä löydy.. Se onko niille tarvetta on toinen asia. Mutta rahallisesti siinä ei ole järkeä.
Toisaalta, harrastukset maksaa.

Muoks. Fitlet 3 kalleimmalla prossulla ja parilla lisä eetterillä maksaisi alveineen toimitettuna n. 400€. Siihen päälle muisti ja ssd, tuliskos niistä jotain 70€-80€? Ei sekään ihan halvalla tule kotiin asti käyttöön, mutta on toki selvästi halvempi kuin toi Netgaten malli.

 

[mikajh]

Tuossa Intel C3338R server prossussa on Integrated Intel® QuickAssist Technology.

Eikö tuo ole palomuurissa suorastaan valtava turvallisuusriski

 

[jsa]

Eikö tuo ole palomuurissa suorastaan valtava turvallisuusriski

Mistä syystä ? Avaisitko hieman.

 

[escalibur]

Mistä syystä ? Avaisitko hieman.

Varmaan näistä ja vastaavista syistä:

CVE-2017-5681 : The RSA-CRT implementation in the Intel QuickAssist Technology (QAT) Engine for OpenSSL versions prior to 0.5.19 may all

CVE - CVE-2018-18096

 

[jsa]

Varmaan näistä ja vastaavista syistä:

"Improper memory handling in Intel QuickAssist Technology for Linux (all versions) may allow an authenticated user to potentially enable a denial of service via local access. "

Nyt jos vallikoneelle päästään sisään jotain kautta niin saattaa olla että tämä on murheista pienin. Side-channel hyökkäyksiä on muitakin ja hyvin todennäköisesti niitä löydetään vielä lisää.

 

[user9999]

Haavoittuvuuksia on löytynyt näköjään tuosta Integrated Intel® QuickAssist Technology.
Netgate myy tuota myös erillisenä korttina,

Netgate CPIC-8955 Cryptographic Accelerator Card with QAT

CPIC-8955 ACCELERATOR CARD WITH INTEL® QUICKASSIST TECHNOLOGY: INTEL "COLETO CREEK" PCIE CRYPTOGRAPHIC ACCELERATOR CARD cryptographic and compression acceleration using the Intel "Coleto Creek" 8955 chipset, with CLC. Use this card to add QuickAssist acceleration service capabilities to existing...

shop.netgate.com

Tuossa riittää suorituskykyä.

• Performance:
  • Intel QuickAssist Technology Capability: 50 Gbps
  • IPSec: 43 Gbps
  • SSL: 49 Gbps
  • Compression: 20 Gbps
  • Kasumi/Snow3G: 24 Gbps
  • RSA Decrypt 1k-bit key: 170K ops/sec
  • RSA Decrypt 2k-bit key 35K ops/sec

Inteliltä löytyy vielä tehokkaampia kortteja.

Intel® QuickAssist Adapter Family for Servers

Find documentation, support, and specs for the Intel® QuickAssist Adapter 8920-SCC for servers, providing cryptographic and compression acceleration.

www.intel.com

 

[MOS6510]

Tuossa Intel C3338R server prossussa on Integrated Intel® QuickAssist Technology.

Product Specifications

quick reference guide including specifications, features, pricing, compatibility, design documentation, ordering codes, spec codes and more.

ark.intel.com

Tuota ei ole esim. uusimassa työpöytä prossussa (i9-12900K).

Product Specifications

quick reference guide including specifications, features, pricing, compatibility, design documentation, ordering codes, spec codes and more.

ark.intel.com

Hyötyä VPN jutuissa.

Kaikissa moderneissa prosessoreissa on myös AES-NI-käskyt, jotka nekin nopeuttavat salausta noin 5x. Mikä tahansa nopea nykyprosessori tukkii ongelmitta VPN-liikenteessä minkä tahansa kotiin realistisesti hankittavan nettiliittymän.

Mielestäni on tärkeämpää, että prosessori on muutoin nopea, jotta mm. noita tietoturvaskannausominaisuuksia voi veivata päälle ilman nettiliikenteen hidastumista.

 

[kromo]

HP Elitedesk 8200 SFF, i5-2500, 8Gt, 120Gt SSD

pfSense CE 2.5.2 päivittyi mukisematta versioon 2.6.0 yllä olevalla raudalla himppu vajaan puolen vuoden uptimen (n. 173vrk) jälkeen. Ei mitään pakottavaa syytä päivitykseen, mutta onpahan ajan tasalla ja tulipahan vaihteeksi rautakin bootattua. Kotikäytössä tämä on toiminut kuin se junan vessa.

 

[CoreFusion]

Hollannissa tulossa ja viimeisin merkintä oli että vapautettu tullista.. jännää

Nonni, purkki tuli tänään, pääsee asenteleen ja säätämään valitettavasti räkkitilauksesta oli jäänyt rj-45 paneeli jälkitoimitukseen ja sitä pitää odotella vielä 2-3vko ennen kuin pääsee lopullisen asennuksen tekemään, mutta onpahan aikaa tehdä kaapelivetoja.

 

[iccb]

Alista löytyi aika hyvän tuntuinen Qotom kone: Qotom. 5kpl 2,5Gb ethernet, msata ssd, 2,5 sata ja so-dimm ddr4. Laitoin tilaukseen, alveineen ja posteineen karvan päälle 200€....
Katsotaan millainen on kun tulee..

 

[user9999]

Tuli tilattua Netgate 1100 purkki. Tässä on nyt jokin SafeXcel Crypto, joka piti laittaa erikseen päälle.



Onneksi tuli 22.01 versiolla niin ei tarvitse asentaa uudelleen, jotta saisi ZFS käyttöön. ZFS on käytössä.

Muutaman viikon ollut nyt tuo SG-1100 käytössä. Ihan ok laite. Laitetta ei ole vielä sijoitettu lopulliseen paikkaan eli se on pöydällä. Tuossa on aika kirkkaat nuo valot, mutta osan pystyy sammuttamaan.

You can turn off the status LED (black diamond) by running the command: echo 0 > /dev/led/ok
The power led (green circle) is not software controllable.

Mulla on erillinen liittymä, jossa tuo on kiinni. Liittymä tarkoitettu työkäyttöön eli työkone tuossa on kiinni ja jotain Netatmo sääasema ja muita pilvilaitteita.

Limiters tuli äsken viritettyä kuntoon ja testattua Bufferbloat.

Bufferbloat and Internet Speed Test - Waveform

Is bufferbloat causing issues with your internet connection? Run this test to find out.

www.waveform.com

Speed test - how fast is your internet? | DSLReports, ISP Information

Use our NEW speed test tool to test how fast your broadband or mobile internet connection really is. Read broadband news, information and join our community

www.dslreports.com

 

[naguttaha]

Muutaman viikon ollut nyt tuo SG-1100 käytössä. Ihan ok laite. Laitetta ei ole vielä sijoitettu lopulliseen paikkaan eli se on pöydällä. Tuossa on aika kirkkaat nuo valot, mutta osan pystyy sammuttamaan.

You can turn off the status LED (black diamond) by running the command: echo 0 > /dev/led/ok
The power led (green circle) is not software controllable.

Mulla on erillinen liittymä, jossa tuo on kiinni. Liittymä tarkoitettu työkäyttöön eli työkone tuossa on kiinni ja jotain Netatmo sääasema ja muita pilvilaitteita.

Limiters tuli äsken viritettyä kuntoon ja testattua Bufferbloat.

Bufferbloat and Internet Speed Test - Waveform

Is bufferbloat causing issues with your internet connection? Run this test to find out.

www.waveform.com

Speed test - how fast is your internet? | DSLReports, ISP Information

Use our NEW speed test tool to test how fast your broadband or mobile internet connection really is. Read broadband news, information and join our community

www.dslreports.com

Millä asetuksilla otit bufferbloatin käyttöön? Kokeilin itse jotain ohjetta ”tail drop” ja tällä sai kyllä latenssin stabiiliksi kuorman alla, mutta lisäsi kokonaisuudessa latenssia luokkaa 5ms, lisäksi rajoitti selkeästi kaistaa vaikka ei vielä asetettuhin rajoihin paukkunutkaan.

 

[user9999]

Millä asetuksilla otit bufferbloatin käyttöön? Kokeilin itse jotain ohjetta ”tail drop” ja tällä sai kyllä latenssin stabiiliksi kuorman alla, mutta lisäsi kokonaisuudessa latenssia luokkaa 5ms, lisäksi rajoitti selkeästi kaistaa vaikka ei vielä asetettuhin rajoihin paukkunutkaan.

Queue Management Algorithm: Tail Drop
Scheduler: FQ_CODEL
Tuo liittymä on Elisan 100/10 VDSL eli nopeus jotain max. 96/10.3

Laitoin seuraavat:
WANDown 100000kbit/s
WANUp: 10000kbit/s

Tuo download ei aiheuta mulla testin mukaan bufferbloattia, mutta uppi aiheuttaa jo se menee yli 10000kbit/s.





Edit: Ei kannata testata wifi yhteydellä vaan verkkokaapelilla.

 

[user9999]

Queue Management Algorithm: Tail Drop
Scheduler: FQ_CODEL
Tuo liittymä on Elisan 100/10 VDSL eli nopeus jotain max. 96/10.3

Laitoin seuraavat:
WANDown 100000kbit/s
WANUp: 10000kbit/s

Tuo download ei aiheuta mulla testin mukaan bufferbloattia, mutta uppi aiheuttaa jo se menee yli 10000kbit/s.





Edit: Ei kannata testata wifi yhteydellä vaan verkkokaapelilla.

Nopeudet vielä tuolla liittymällä.

Limiters ei käytössä:

Limiters käytössä:

 

[user9999]

Mulla on toi toinen liittymä DNA (toinen pfsense kone) ja vähän tässä selvittelin, että miksi Bufferbloat on välillä hyvä ja välillä huono. Johtui siitä, että mulla on IPv4 ja IPv6 käytössä niin puuttui IPv6 Floating rule
Näköjään IPv6 myös tarpeen.

pfSense® software Configuration Recipes — Configuring CoDel Limiters for Bufferbloat | pfSense Documentation

docs.netgate.com

If the WAN can carry both IPv4 and IPv6, make a separate rule for each address family.

 

[sloke]

Ajatuksissa olisi siirtyä pfSense tai OPNsense käyttäjäksi, ja siihen kylkeen jotain VPN:nää sekä muita addoneita (jossain vaiheessa). Yhteys 1G/1G ja tehoja olis hyvä olla sen verran, että jaksaa painaa palomuurin läpi symmetristä gigaa - toki miksei VPN:lläkin. Jokunen 1GbE portti riittänee, mutta toki 2,5GbE olis plussaa.

Vaihtoehtoja näyttää olevan paljon. Onkos palstalla hyvää näkemystä mikä kannattaisia hankkia? Absoluuttinen hinta toissijainen, rahalle saadun vastineen jälkeen.

• Netgate 4100/6100
• Fitlet3
• Qotom
• Protectli (/Yangling)
• Piesia
• Apu
• SFF/1U/2U-kone, näissä ilmeisesti ainakin vanhemmalla raudalla aika kova sähkönkulutus?

Yllä ei missään järjestyksessä, mutta oma huomio että Alin tuotteet pääsevät aika kovaan teho-hintasuhteeseen.

 

[MOS6510]

Ajatuksissa olisi siirtyä pfSense tai OPNsense käyttäjäksi, ja siihen kylkeen jotain VPN:nää sekä muita addoneita (jossain vaiheessa). Yhteys 1G/1G ja tehoja olis hyvä olla sen verran, että jaksaa painaa palomuurin läpi symmetristä gigaa - toki miksei VPN:lläkin. Jokunen 1GbE portti riittänee, mutta toki 2,5GbE olis plussaa.

Vaihtoehtoja näyttää olevan paljon. Onkos palstalla hyvää näkemystä mikä kannattaisia hankkia? Absoluuttinen hinta toissijainen, rahalle saadun vastineen jälkeen.

• Netgate 4100/6100
• Fitlet3
• Qotom
• Protectli (/Yangling)
• Piesia
• Apu
• SFF/1U/2U-kone, näissä ilmeisesti ainakin vanhemmalla raudalla aika kova sähkönkulutus?

Yllä ei missään järjestyksessä, mutta oma huomio että Alin tuotteet pääsevät aika kovaan teho-hintasuhteeseen.

Itse olen käyttänyt Fitlet 2:sta vuosia ja kyseisestä laitteesta ei ole kuin hyvää sanottavaa. Fitlet 3 on nyt tilauksessa ja odotan sen tekevän kaiken saman kuin Fitlet 2, mutta vain 2x nopeammin... Tosin jo Fitlet 2 riittää saturoimaan gigabitin liittymän, mutta Fitlet 3:n nopeampi prosessori antaa enemmän pelivaraa erilaisiin sisällönskannauksiin tms.

Laite on pieni ja sopii näppärästi laitekaappiin.

Fitlet 2:een on ollut saatavilla hyvä tuki vuosia ja BIOS-päivityksiä tulee myös hyvään tahtiin. Kiinan ihmeiden kanssa voi olla hieman toinen tilanne.

 

[user9999]

Shuttlelta ilmestynyt uusi XPC fanless DS20U sarja.

Shuttle Global || DS20U/DS20U V2 SERIES - Products

Edit: Tai olikohan tämä jo tiedotettu täällä?