Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

@user9999 Jos oikein tulkitsen tätä, niin verkon tiedonsiirto latenssi on oikeasti vain tuo 18ms. Mutta Elisa WAN linkin DHCP serverin vastauksen viive on tuo 400ms. Serveri on tod.näk. ruuhkainen ja se priorisoi tuota pingiä alaspäin ohi DHCP pyyntöjen, jotka ovat sen varsinainen palveltava osuus. Pingi on vain ns nice to know.
4G käytössä toi mun Pfsense on nyt tehnyt säännöllisesti sellaista että WAN katkeaa noin 2-3 viikon välein. Saapa nähdä jatkuuko tämä, ja jos, niin poistan ominaisuuksia joita on testikäytössä ollut. Vaihtuu kuidulle tuo yhteys tässä parin viikon sisään.
Tuo "DHCP" on tuossa vain linkin nimen osa ja kuvaa sitä, että ko. linkki on saanut IP-osoitteensa DHCP:llä. DHCP-kysely tehdään vain silloin, kun tarvitaan uutta IP-osoitetta. DHCP-palvelimen vastauksilla ei ole mitään tekemistä linkin latenssin kanssa.
 
Moi. Huomasin että voin lisäillä estolistoja omaan reitittimeen ja sivustot lakkaa toimimasta sitä mukaan kun niitä lisäilen sinne. Mitä sinne kannattaa lisäillä ? Perus facebookit & instat , mutta mistä sais tietää nuo suurimmat urkkijat jos haluaa ne lisätä vielä tuonne ?

Mietin mitä sinne naputtelisin, mutta mistä löydän lisää osoitteta lisättäväksi ns. "mustalle listalle" ?
Ei ehkä kuulunu kysymys ihan tähän aiheesee, mutta en nyt parempaakaan keksiny.

Edit: Ei välttämällä ole sellaista mainosblokkeria hakusessa , enemmänkin noilta kolmansien osapuolten urkintojen estämistä. Sorry, en nyt oikein osaa muotoilla / pukea tätä kysymystäni oikeanlaiseksi.
 
Viimeksi muokannut ylläpidon jäsen:
- Avasin noille omille "estolistoille" oman viestiketjun, kun tämä on ehkä vähän väärä aihe siihen mitä yritän ajaa takaa.
 
Viimeksi muokannut ylläpidon jäsen:
Hmm. ehkä tämä roskalava muurirauta on vähän ahdas VPN käyttöön.


Mutta menee tuosta sentään 50Mbps läpi VPN putkesta. Tai sitten se on vaan se headerien osuuden kasvu kun tuota kaistaa syö. Oma tietokone tietenkin wifillä kiinni. Ei jaksa vääntää johdolle itseään :)


Muuten ilman VPN:än läpi puskemista näyttääpi tältä:
37322864.png


EDIT: Eipäs, olenpa tyhmä. Ajan serveriä ja clienttiä VPN:än läpi eriperin kuin speedtestiä yleisesti. Pitäs toisin päin kipata toi. Ajanpa uudestaan. tuo 50Mbps on upload kaista tuossa ipeffissä.


Nyt näyttää tyypillisen tilanteen download kaistan osalta tää jälkimmäinen kuva. X-kohdalla sammutin remotedesktopin pois VPN päässä olevalle serverille, jonka rooli vaihtui juuri clientiksi.

Muokkaus: tämä onkin tosi vakaa versio tämä nyt ajossa oleva. Aiempi kyykähti noin 20vrk nurkilla. Nyt uptime yli 34vrk.
2.3.5-RELEASE-p2 (i386)
 
Viimeksi muokattu:
Mikä on tällä hetkellä hyvä / suositeltava / paras pikkurauta pfSenselle? Fitlet2 edelleen? Onko muita varteenotettavia ilmaantunut?
 
Mikä on tällä hetkellä hyvä / suositeltava / paras pikkurauta pfSenselle? Fitlet2 edelleen? Onko muita varteenotettavia ilmaantunut?

fitlet2 ja Shuttlen purkit lienee edelleen parhaimmistoa. Niiden lisäksi jossain Aliexpressistä voi tehdä halvahkoja löytöjä jostain pingPong-purkeistä. :)
 
Minipc.de sivustolta löytyy myös Jetwayn pikkukoneita, joita voi myös käyttää..
 
Mikä on tällä hetkellä hyvä / suositeltava / paras pikkurauta pfSenselle? Fitlet2 edelleen? Onko muita varteenotettavia ilmaantunut?
Vaikea keksiä parempaa rautaa kotimuurille kuin Fitlet2 J3455-prossulla. Laite on pieni, lämpenee vähän, ei tuuletinta ja tekee sen mitä pitää. Tehoa on enemmän kuin tarpeeksi gigabitin liittymälle.

Kannattaa vain muistaa tilata laitteen mukana samalla:
- Mounting bracket - helpottaa laitteen ruuvaamista laitekaappiin
- 2 Ethernet-portin kortti - palomuurissa lisäportit voivat olla tarpeen
 
Onneksi niitä SER purkkeja oli kaks, joten konffailen sen toisen niistä 64 bittisenä tuotantoon. Saas nähdä miten menee "läpsystä vaihto" kun vaihdan purkin toiseen :D
 
Meni harvinaisen pieleen tämä 2.4.4 -päivitys. En aluksi huomannut, että uusi versio oli tullut vaan olin päivittämässä pfBlockerNG-pakettia joka sitten vetikin riippuvuuksien kautta PHP 7.2:n purkkiin joka hajotti kaiken. Noh, vaati sitten lopulta täydellisen uudelleenasennuksen. Onneksi sentään konfiguraation varmuuskopio toimi. :)

edit: Näköjään en ollut ainoa: Reddit: Robustness of Netgate systems and pfSense stability
 
Toimiiko teillä traceroute tuon CodelQ:n käyttöönoton jälkeen? Minulla se ei näytä hyppyjä oikein, kaikissa on osoitteena se lopullinen osoite.
 
Viimeksi muokattu:
Floating rulekin toimii jos protokollaksi laittaa tcp/udp eikä all. Mutta onko tuo sitten ok ratkaisu vai ei..?
 
Speedtest.net antaa uploadissa 4Mbps tuloksen jos tuo CodelQ on päällä ja 9Mbps ilman sitä. Tarttis kai säätää jotain, vai onko tuo normaali "ominaisuus"?
 
Vaikea keksiä parempaa rautaa kotimuurille kuin Fitlet2 J3455-prossulla. Laite on pieni, lämpenee vähän, ei tuuletinta ja tekee sen mitä pitää. Tehoa on enemmän kuin tarpeeksi gigabitin liittymälle.

Kannattaa vain muistaa tilata laitteen mukana samalla:
- Mounting bracket - helpottaa laitteen ruuvaamista laitekaappiin
- 2 Ethernet-portin kortti - palomuurissa lisäportit voivat olla tarpeen

Toihan on just passeli käyttöön.

Ei tuolla hinnalla voi odottaa 10Gbit/s portteja laitteessa ja onko tuolla lisäporteilla niin väliä, kun tuon heittää kytkimen perään?
 
Itse olen tässä pitkään pohtinut mitä uudeksi palomuuriksi laittaisin, nykyinen ipfire on virtuaalisena qnapin nassissa, mutta nyt kun yhteys päivittyi 1000/100 nopeuteen, niin rupee qnapin rauta ahistamaan, joten aika laittaa uutta suoleen.
Aikani kaikkia vaihtoehtoja mietein ja selailin ja totesin, että pistetään sitten visa vinkumaan ja tilataan qotomilta seuraava kone:
Qotom Mini PC with Celeron Core i3 i5 Pfsense AES NI 6 Gigabit NIC Router Firewall Support Linux Ubuntu Fanless PC Q500G6-in Mini PC from Computer & Office on Aliexpress.com | Alibaba Group

prossuna i3 6100U, tässä on potkua jonkun verran enemmän kuin fittletin celeronissa, joten pitäisi riittää vaikka mihin gigaisellä yhteydelläkin. Ja hintaa tuli ~215€. Tähän päälle muistipalikka vielä niin avot!
 
Itse olen tässä pitkään pohtinut mitä uudeksi palomuuriksi laittaisin, nykyinen ipfire on virtuaalisena qnapin nassissa, mutta nyt kun yhteys päivittyi 1000/100 nopeuteen, niin rupee qnapin rauta ahistamaan, joten aika laittaa uutta suoleen.
Aikani kaikkia vaihtoehtoja mietein ja selailin ja totesin, että pistetään sitten visa vinkumaan ja tilataan qotomilta seuraava kone:
Qotom Mini PC with Celeron Core i3 i5 Pfsense AES NI 6 Gigabit NIC Router Firewall Support Linux Ubuntu Fanless PC Q500G6-in Mini PC from Computer & Office on Aliexpress.com | Alibaba Group

prossuna i3 6100U, tässä on potkua jonkun verran enemmän kuin fittletin celeronissa, joten pitäisi riittää vaikka mihin gigaisellä yhteydelläkin. Ja hintaa tuli ~215€. Tähän päälle muistipalikka vielä niin avot!

Oliko joku peruste että otit 6100U vs 6200U. Ok , ei muuta eroa kun 6200 o boostikellot ja n.35€ kovempi hinta.
 
Itse olen tässä pitkään pohtinut mitä uudeksi palomuuriksi laittaisin, nykyinen ipfire on virtuaalisena qnapin nassissa, mutta nyt kun yhteys päivittyi 1000/100 nopeuteen, niin rupee qnapin rauta ahistamaan, joten aika laittaa uutta suoleen.
Aikani kaikkia vaihtoehtoja mietein ja selailin ja totesin, että pistetään sitten visa vinkumaan ja tilataan qotomilta seuraava kone:
Qotom Mini PC with Celeron Core i3 i5 Pfsense AES NI 6 Gigabit NIC Router Firewall Support Linux Ubuntu Fanless PC Q500G6-in Mini PC from Computer & Office on Aliexpress.com | Alibaba Group

prossuna i3 6100U, tässä on potkua jonkun verran enemmän kuin fittletin celeronissa, joten pitäisi riittää vaikka mihin gigaisellä yhteydelläkin. Ja hintaa tuli ~215€. Tähän päälle muistipalikka vielä niin avot!

Qotomin vaihdoin itse Fitlet2-purkkiin, BIOS/UEFI -päivitysten puute oli kynnyskysymys.
Kun kerran purkki on intternetin laidalla, haluan sen todellakin saavan myös tuolla saralla päivityksiä.

Hoituu meinaan mallikkaasti:
Fitlet2: BIOS Files - fit-PC wiki
 
Qotomin vaihdoin itse Fitlet2-purkkiin, BIOS/UEFI -päivitysten puute oli kynnyskysymys.
Kun kerran purkki on intternetin laidalla, haluan sen todellakin saavan myös tuolla saralla päivityksiä.

Hoituu meinaan mallikkaasti:
Fitlet2: BIOS Files - fit-PC wiki

Aika hyvä pointti itseasiassa. fitlet o korissa keikkunu ja pohtinu josko sitä nappia painais. Toi tuki kuvio o kyl hyvä olla kondiksessa.
 
prossuna i3 6100U, tässä on potkua jonkun verran enemmän kuin fittletin celeronissa, joten pitäisi riittää vaikka mihin gigaisellä yhteydelläkin. Ja hintaa tuli ~215€. Tähän päälle muistipalikka vielä niin avot!
Fitlet2:n Celeron J3455 riittää sekin hienosti kaikkeen gigan yhteydellä. Omassa laitteessa on palomuurisoftana Sophos XG Home ja en edes sisällönsuodatukset päällä pääse juuri koskaan yli 20% CPU-kuormitukseen.

Lisäksi noissa Fitleteissä toimivat nuo BIOS-päivitykset selvästi Qotomeja paremmin. Itse laite on myös erittäin laadukkaan oloinen niin suunnittelultaan kuin kasaustyöltään. Ja Fitlet2 ja sen taakse tuleva pieni (itselläni Zyxelin 8-porttinen) kytkin mahtuvat hienosti pieneen telekaappiin.
 
Toihan on just passeli käyttöön.

Ei tuolla hinnalla voi odottaa 10Gbit/s portteja laitteessa ja onko tuolla lisäporteilla niin väliä, kun tuon heittää kytkimen perään?
Ei varmaan peruskäytössä. Kytkinhän sen laitteen taakse tulee.

Mutta jos haluaa alkaa virittelemään erillisiä DMZ-alueita ilman VLANeja, niin muutama lisäportti ei ole pahitteeksi. Toimituskulut ovat varsin suolaiset, joten se Ethernet-lisäporttikortti kannattaa tilata saman tien ensitilauksen mukana.
 
Fitlet2:n Celeron J3455 riittää sekin hienosti kaikkeen gigan yhteydellä. Omassa laitteessa on palomuurisoftana Sophos XG Home ja en edes sisällönsuodatukset päällä pääse juuri koskaan yli 20% CPU-kuormitukseen.

Lisäksi noissa Fitleteissä toimivat nuo BIOS-päivitykset selvästi Qotomeja paremmin. Itse laite on myös erittäin laadukkaan oloinen niin suunnittelultaan kuin kasaustyöltään. Ja Fitlet2 ja sen taakse tuleva pieni (itselläni Zyxelin 8-porttinen) kytkin mahtuvat hienosti pieneen telekaappiin.

Hmm...
Riittääkö toi celeron jos on ntopng, pfblocker, snort tai suricata, 1-2 vpn yhteyttä? Sisäverkossa 4 käyttäjää, laitteita varmaan reilu 20....

Tuota biossin pointtia en ottanut huomioon kyllä, mutta en näe, että sillä nyt kotikäytössä on ihan mahdottoman suurta merkitystä, mutta huomionarvoinen juttu kuitenkin...
Heittäkääs vielä linkkiä mistä ootte noita fitlettejä tilannu?

Tilaa on räkkikaapissa kyllä, joten sillä ei ole merkitystä itselleni...
 
Hmm...
Riittääkö toi celeron jos on ntopng, pfblocker, snort tai suricata, 1-2 vpn yhteyttä? Sisäverkossa 4 käyttäjää, laitteita varmaan reilu 20....

Tuota biossin pointtia en ottanut huomioon kyllä, mutta en näe, että sillä nyt kotikäytössä on ihan mahdottoman suurta merkitystä, mutta huomionarvoinen juttu kuitenkin...
Heittäkääs vielä linkkiä mistä ootte noita fitlettejä tilannu?
Itse tilasin Fitlettini suoraan Compulabilta (valmistajalta) tämän linkin kautta:
Buy

Biosilla on merkitystä, sillä nämä Spectre tms. bugit ovat periaatteessa hyödynnettävissä myös etäisesti.

Itse käytän Sophos XG:tä, mutta vertailun vuoksi:
- Telian 1000/100 kuituyhteys (Speedtestillä n. 940/95 Mbit/s)
- Neljä käyttäjää
- Noin 20 laitetta
- Silloin tällöin yksi VPN-yhteys (Sophos XG päätelaitteena)
- Sophoksen IDS päällä
- Web-liikenteen sisältöskannaus on ollut välillä myös päällä ilman mitään havaittavaa vaikutusta nopeuteen
- Sophos tekee ntopng:tä vastaavan liikennealysoinnin

... eli aika vastaava paketti... Ja kuormitus tosiaan hyvin vähäinen. Tämän enempää ei gigainen palomuuri kotikäyttöön tarvitse rautaa allensa.
 
Viimeksi muokattu:
Tuota biossin pointtia en ottanut huomioon kyllä, mutta en näe, että sillä nyt kotikäytössä on ihan mahdottoman suurta merkitystä, mutta huomionarvoinen juttu kuitenkin...
Palomuurissa aika tärkeä juttu, kun Intel Management Engine reikineen saattaa kuunnella internetissä. (Toisaalta mitä lie mossad asentaa fitletteihin..)
 
Viimeksi muokattu:
Speedtest.net antaa uploadissa 4Mbps tuloksen jos tuo CodelQ on päällä ja 9Mbps ilman sitä. Tarttis kai säätää jotain, vai onko tuo normaali "ominaisuus"?
Mulla on 100/10 netti niin pistin WANDown 100Mbit/s ja WANUp 9Mbit/s. Speedtestisllä menee uppi vähän alle 9Mbit/s.
 
Moi!

Mulla on tuollainen QOTOM-Q355G4 I5 5250U pfsensellä palomuurina... Kun olette kokeneemmat näiden kanssa pelailleet niin löytyykö noihin Qotomeihin Bios päivityksiä ja onko edes syytä?

Toinen mikä tuli mieleen:

AES-NI CPU Crypto: Yes (inactive)

Nyt en ole katsonut mutta pitäisi varmaan... mistä bioksesta löytyy tuon vipu?
 
Juu tullit ja alv. En enää muista kun on jo vuoden verran vanha. Laskin kuitenkin että kannattaa...
Paljos sulle tuli tohon tulleja ja alveja lisää?

Jos tilais fitlet2 + fitups, ni posteinen tarjoaa 255$...

Tullit ja alvit vielä päälle ilmeisesti?
 
Paljos sulle tuli tohon tulleja ja alveja lisää?

Jos tilais fitlet2 + fitups, ni posteinen tarjoaa 255$...

Tullit ja alvit vielä päälle ilmeisesti?
Tässä oma kustannuserittely kun tilasin suoraan Compulabilta:
fitlet2 E3950: 154,90 €
UPS Europe -toimitus: 51,07 €
ALV maahantuonnista: 50,32 €
UPS maksupalvelupalkkio: 12,00 €

Kesti muistaakseni 3 viikkoa.
 
Kiitoksia kaikille vastauksista!
Tilasin nyt eilen tuon j3455 fitletin, katsotaan koska tulee...
 
Käytän. Oli testinä rule lan puolella, mutta poistin sen ja tein tuonne floating puolelle. Tuo traceroute sekoilee tällä hetkellä.
Jees. Käytätkö muuten samoja asetuksia kuin Lawrence?

Itsellä on 300/20 kuitu ja jostain syystä CodelQ saa yhteyden pysymään 280-300 kieppeillä, kun sit taas ilman sitä testit antavat 320-370MB/s tuloksia. Kokeilin eri rajoituksia 300-500 väliltä mutta yhdelläkään ei pääse samoihin lukemiin. Uppikaistan rajoitin 25MB/s. Ehkä se on by design? :think:
 
Jees. Käytätkö muuten samoja asetuksia kuin Lawrence?

Itsellä on 300/20 kuitu ja jostain syystä CodelQ saa yhteyden pysymään 280-300 kieppeillä, kun sit taas ilman sitä testit antavat 320-370MB/s tuloksia. Kokeilin eri rajoituksia 300-500 väliltä mutta yhdelläkään ei pääse samoihin lukemiin. Uppikaistan rajoitin 25MB/s. Ehkä se on by design? :think:
Mulla asetukset samat kuin Lawrencella.

Speedtest antaa samat nopeudet kuin ilman Codelia. Paitsi, että rajoitin tuon uppin 9Mbit/s.

Oletko kokeillu muuttaa tuota Queue length arvoa?

Edit: Pistin nyt kbit/s nuo arvot. Sai tarkemmin säädettyä eli uppi 9800kbit/s niin tulee vielä BufferBloat A+ kun muutaman kerran testasin.
 
Viimeksi muokattu:
Mulla asetukset samat kuin Lawrencella.

Speedtest antaa samat nopeudet kuin ilman Codelia. Paitsi, että rajoitin tuon uppin 9Mbit/s.

Oletko kokeillu muuttaa tuota Queue length arvoa?

Ajoin testin uudestaan ja nyt näyttää kenties siltä, miltä pitää. :)

x57AGB9.png


Mitään arvoa en muuttanut eilisestä.
 
Tuo traceroute toimii päin seiniä. Windowssissa korjaantuu kun pistää rulen protocol ANY --> TCP/UDP. Tuolla ei ole vaikutusta macOS ja linux purkkeihin. Johtuukohan tästä " By default Windows tracert uses ICMP and both Mac OS X and Linux traceroute use UDP". Kun laittaa ruleen pelkän TCP niin toimii macOS ja linux purkeissa.
 
Tuo traceroute toimii päin seiniä. Windowssissa korjaantuu kun pistää rulen protocol ANY --> TCP/UDP. Tuolla ei ole vaikutusta macOS ja linux purkkeihin. Johtuukohan tästä " By default Windows tracert uses ICMP and both Mac OS X and Linux traceroute use UDP". Kun laittaa ruleen pelkän TCP niin toimii macOS ja linux purkeissa.

Kaiken järjen mukaan johtuu nimenomaan tuosta erosta. Jos rule protokolla on ANY, niin sitten se koskee myös ICMP:tä (eli se Windowsin traceroute osuu sääntöön) ja vastaavasti jos rulessa on pelkkä TCP, niin Unixien UDP traceroute ei sääntöön osu. Ihan uteliaisuudesta, miten se traceroute kusee?
 
Kaiken järjen mukaan johtuu nimenomaan tuosta erosta. Jos rule protokolla on ANY, niin sitten se koskee myös ICMP:tä (eli se Windowsin traceroute osuu sääntöön) ja vastaavasti jos rulessa on pelkkä TCP, niin Unixien UDP traceroute ei sääntöön osu. Ihan uteliaisuudesta, miten se traceroute kusee?

Noin se menee. Tuossa ensimmäisessä protokolla any ja toisessa rule on disabled tilassa.

OjV3Ga5.png
 
Toimiiko teillä pfBlockerNG:n kaikki servicet kun Traffic Shaper on käytössä? Ilmeisesti se ei toimi oikein tämän kanssa.
 

Statistiikka

Viestiketjuista
259 606
Viestejä
4 510 584
Jäsenet
74 443
Uusin jäsen
late1981

Hinta.fi

Back
Ylös Bottom