Sisältyy ja sisältyy. Itse en kytkisi ei-palomuuritarkoitukseen tarkoitettua softaa suoraan internettiin, mutta kukin tyylillään.
PCI passthrough:ssa virtuaali kone hoitaa verkkokortin ihan niin kuin baremetal ratkaisussa. Täten performanssi ja turvallisuus pitäisi olla erittäin hyvä. Vai olenko tajunnut jotain väärin?
Onhan se niinkin. Mutta eikö se olisi sama tilanne bare metal palomuurillakin, jos ei luota siihen niin en tiedä kannattaako sitä laitta niinkun kriittiseen tehtävään edes virtuaalisena
Jos isäntäkone on vallattu niin onhan asiat silloin huonosti. Tietysti jos isäntäkone ajaa vain virtuaalikoneita niin tartuntapintaa pitäisi olla vähän.
Varmaan riippuu käyttötarpeesta, siitähän puuttuu monta oleellista ominaisuutta kuten AD-integraatio ja NGFW toiminnallisuuksia.
Pitääkin tutkia noita läpi. Unifi on käytössä mutta se on aika paska kun haluaa enemmän tunneleita ja muita konffausta tehdä.
Noh jos nykyinen on Ubiquitin tuotteita niin onhan tuo OPNsense tai pfSense nyt siitä huomattavasti eteenpäin. Eli varmasti kaikki samat löytyy mitä Ubiquitista.
Joo perus reititykseen pääosin mutta nyt kun tarpeet kasvaa niin Unifi tuntuu olevan vaikea saada kaikkea pyörimään.
Tuskin paljon mitään. OPNsensen vakio-osa Suricata lienee hyödyllisempi, mutta sen kanssa pitää olla ihan kunnon rautaa, desktop-luokan prosessori ja RAMia
Tuollaista palomuuria ei kannata laittaa jos pelkää sen turvallisuutta. Ei virtuaalikoneelta kovin helppoa ole isäntäkonetta vallata. Varsinkaan kun isäntäkone kun ei käytä virtuaalikoneen verkkokorttia mihinkään passthrue modessa.
Kävisikö Netgaten räkkiversio Reitittimet - Reitittimet ja tarvikkeet - Verkko & turvallisuus | Dustin.fi , vai pitääkö olla nimenomaan OPNsense?
OPNSenseä on tullut käytettyä niin se olisi tutumpi. Raudallahan ei niin väliä.
Tuohon ei taida saada, johonkin Lenovon uudempaan miniin taisi saada mutta mitä katselin niin kyseinen malli oli luokkaa 400-500€ ja todella pahasti yliampuva tehoiltaan vielä siihen nähden että nic on vain 1gbit. Eli katselisin jotain muuta ja halvempaa.
eBayssä myydään esim Fujitsun S920 thin clienteja joihin saa erillisen verkkokortin asennettua. Kannattaa tarkistaa suomalaiset verkkokaupat, jotka myyvät käytettyjä yrityskoneita.
Fyi Tailscale-lisäri ilmestyi pfSenseen (mukaan lukien myös CE-version):
Devaajan oma video aiheesta:
tailscale.com
Pitää itsekin ottaa sen testiin joskus syksyllä.Otin tuon Tailscalen testiin. Asensin Netgate 1100 purkkiin. En nyt oikein tiedä onko tuolla pahemmin käyttöä. Nyt pääsee helposti toisesta verkosta hallitsemaan tuota verkkoa, jossa on tuo Netgate 1100 purkki.
Personal plan (free) käytössä.
Seuraaviin käyttöjärjestelmiin löytyy client ohjelmisto
Download · Tailscale
Tailscale is a zero config VPN for building secure networks. Install on any device in minutes. Remote access from any network or physical location.
Compare plans & features
Tailscale
Tailscale makes connecting your team and devices easy. It’s free to get started and use by yourself, and scales with you as your needs grow.tailscale.com
Nuo oli kyllä edukkaita siellä. Alkaen ~30€ tasosta. Noissa kaikkein halvimmissa vain oli 2 tai 4Gb SSD levyt. Se ei taida riittää ainakaan pfsensen minimivaatimusten mukaan. Pitää vielä ajan kanssa selailla noita tai jotain muita joihin saa lisäverkkokortin. Näytti joku myyvän noita Fujitsuja valmiiksi lisäverkkokortilla ja pfsensellä, mutta niillä olikin sitten se ~140€ hintaa. Tuollainen micro (MFF) olisi mukavampi istuttaa nykyiseen kaappiin jossa verkkovermeet, mutta niissä ei taida yleensä olla tuota PCIe paikkaa mitä koitin kaivaa. Esim. tämän voisi muutoin hankkia. Pitänee katella noita SFF kokoisia.
Oma pfSense-asennus vuodelta 2016 vie edelleen jotain 800Mt levyä. Sanoisin että 4Gb riittää alkuun. Päivittelet sitten jos se ei todistetusti riitä.
Oisko linkkiä heittää koneeseen?
Tämä on se mitä itse ostin, mutta tuli aika nopean haun päätteeksi tilattua. Voi löytyä parempiakin hinta -tehosuhteeltaan. Fujitsu Futro S920 ThinClient AMD 2.20GHz CPU 4GB RAM 8GB SSD power supply without base | eBay
Otin tuon Tailscalen testiin. Asensin Netgate 1100 purkkiin. En nyt oikein tiedä onko tuolla pahemmin käyttöä. Nyt pääsee helposti toisesta verkosta hallitsemaan tuota verkkoa, jossa on tuo Netgate 1100 purkki.
Personal plan (free) käytössä.
Seuraaviin käyttöjärjestelmiin löytyy client ohjelmisto
Download · Tailscale
Tailscale is a zero config VPN for building secure networks. Install on any device in minutes. Remote access from any network or physical location.
Compare plans & features
Tailscale
Tailscale makes connecting your team and devices easy. It’s free to get started and use by yourself, and scales with you as your needs grow.
Lawrence Systems
tailscale.com
Itse siirryin OpnSensestä PFSense Plussaan, koska halusin kokemusta nimenomaan PFSensestä, sillä sen osaamisesta voisi yrityspuolella olla todennäköisemmin hyötyä. Lisäksi huomasin, että PFSense sai XCP-NG:n virtuaaliverkkokortista enemmän irti, mutta koska minulla ei tällä hetkellä tuolle virtuaalialustalle muuta käyttöä ole kuin virtualisoitu palomuuri helpomman säätämisen takia, niin tein verkkokortti-passthrough'n. .Jäin kuitenkin em. syistä PFSensen käyttäjäksi. Mitä tulee erosta Community Editioniin, niin olen antanut itseni ymmärtää, että mitään et tuossa Community -> Plus -vaihdossa menetä, vaan saat ainoastaan ominaisuuksia lisää ja kotikäytössä tosiaan ilmaiseksi. Joillakin palstoilla tuntuu olevan iso asia se, että Plus on suljettua lähdekoodia, kun taas CE on avointa. Minulle tällä ei ole isompaa merkitystä, koska olen todennut, että sielunsa on IT-maailmassa joillekin tahoille myytävä, mutta varmaan joku tulee kohta kertomaan, miksi pitäisi olla
. PFSense Plussan konffifilu on tätä kirjoitettaessa yhteensopiva Community Editionin kanssa, joten uudelleenasennuksen kautta pääsee takaisin CE:hen.
