Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Enhancer]

Opnsense ja Adguard Home.
Tähän asti toiminut hyvin, mutta kun lisäsin verkkoon Unifin hallittavan kytkimen ja tukiaseman VLAN verkkojen toivossa, niin en saa millään VLANeja toimimaan halutulla tavalla, palomuurisäännöistä huolimatta. Alkuun yritin saada vierasverkkoa toimimaan, mutta tästä verkosta joko pääsee kaikkialle tai ei mihinkään. Aloin epäilemään että syynä on Adguard ja sen DNS-asetukset.
Helpoin tapa varmaan olisi aloittaa Adguardin asennus puhtaalta pöydältä, mutta miten tuo asennus ensinnäkin poistetaan? Riittääkö että ottaa palvelun pois käytöstä ja poistaa pluginin, ja sen jälkeen asentaa uudestaan? Toinen ongelma on että jos otan Adguardin pois käytöstä, niin verkosta ei pääse ulos vaikka palautan DNS-asetukset Opnsensen puolelta.
Oikeastaan riittäisi pelkkä Zenarmor omaan käyttöön, eli tässä vaiheessa kiinnostaisi vain poistaa Adguard kokonaan.

Onhan sinulla VLAN varten palomuurisäännöt tehtynä? Oletuksena uudessa VLAN:ssa kaikki uloslähtevä on estettynä?

 

[SpiidWulf]

Nykyinen hyvin palvellut PC Engines APU2 pfSense pitäisi korvata 2.5GbE aikakauden ratkaisulla. Onko edelleen tilanne se, että käytännössä kohtuuhintaiset järkevät vaihtoehdot ovat kiinalaisten N100 koneet, jos tarpeen olisi saada ainakin 4x2.5GbE portit ja järkevä suorituskyky VPN käyttöön? Onko näissä valmistajien (Topton, Hunsn, ...) kesken suurempia eroja?

 

[Khauron]

Nykyinen hyvin palvellut PC Engines APU2 pfSense pitäisi korvata 2.5GbE aikakauden ratkaisulla. Onko edelleen tilanne se, että käytännössä kohtuuhintaiset järkevät vaihtoehdot ovat kiinalaisten N100 koneet, jos tarpeen olisi saada ainakin 4x2.5GbE portit ja järkevä suorituskyky VPN käyttöön? Onko näissä valmistajien (Topton, Hunsn, ...) kesken suurempia eroja?

Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:

N100/N200/i3-N305 5-network Fengshang version soft 5-network 2.5G dual M.2 dual SATA dual HDMI/DP/multi-network port mini host

Features: 1. Brand new lntel 12th generation N series full small core low power consumption processor 2. 1*SO-DIMM DDR5 slot 4800MHz compatible with 5200/5600MHZ 3. Five 2.5G network ports Brand new Intel i226-V network card chip 4. 4 4K display outputs Dual HDMI+DP+Type-C (support 3-screen...

cwwk.net

Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.

Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.

Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.

https://www.dustinhome.fi/product/5011254401/2100-pfsense-security-gateway

 

[Heicci]

Onhan sinulla VLAN varten palomuurisäännöt tehtynä? Oletuksena uudessa VLAN:ssa kaikki uloslähtevä on estettynä?

Palomuurisäännöt oli kunnossa. Vika löytyi Adguardin asetuksista.

Kävin alusta asti läpi Adguardin asetukset seuraamalla tätä ohjetta:

How to setup AdGuard Home DNS on OPNsense with Unbound - windgate

Why do I need AdGuard Home as my internal DNS resolver?AdGuard Home is a free and open-source software that can block ads and tracking on all devices connected to your home Wi-Fi network. Unlike traditional ad blockers that only work on specific devices or browsers, AdGuard Home covers all...

windgate.net

Todennäköisesti se mikä ongelmat aiheutti oli puuttuvat määritykset siitä mitä verkkoja Adguardin pitäisi kuunnella. Tämän pystyy määrittämään asennuksen yhteydessä, mutta kyseiseen asetukseen ei pääse käsiksi jälkeenpäin muuten kuin muokkaamalla .yaml tiedostoa.
Eli SSH:lla sisään Opnsenseen ja edit /usr/local/AdGuardHome/AdGuardHome.yaml

Ao. kohtaan kun lisäsi kaikki VLAN-verkot niin alkoi toimimaan. Aiemmin kuunteli siis pelkästään LAN-aluetta.

dns:
  bind_hosts:
    - 127.0.0.1
    - 192.168.2.1
    - 192.168.10.1
    - 192.168.20.1
    - 192.168.30.1
    - 192.168.40.1
    - 192.168.50.1

 

[SpiidWulf]

Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:

N100/N200/i3-N305 5-network Fengshang version soft 5-network 2.5G dual M.2 dual SATA dual HDMI/DP/multi-network port mini host

Features: 1. Brand new lntel 12th generation N series full small core low power consumption processor 2. 1*SO-DIMM DDR5 slot 4800MHz compatible with 5200/5600MHZ 3. Five 2.5G network ports Brand new Intel i226-V network card chip 4. 4 4K display outputs Dual HDMI+DP+Type-C (support 3-screen...

cwwk.net

Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.

Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.

Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.

https://www.dustinhome.fi/product/5011254401/2100-pfsense-security-gateway

Kiitos kattavista havainnoista. Pitää laittaa tuo Netgate 2100 harkintaan, hintaero ei kuitenkaan ole niin suuri verrattuna Kiinan vermeisiin.