Onhan sinulla VLAN varten palomuurisäännöt tehtynä? Oletuksena uudessa VLAN:ssa kaikki uloslähtevä on estettynä?
Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
- Keskustelun aloittaja escalibur
- Aloitettu
-
- Avainsanat
- palomuurit pfsense simplewall sophos utm tee-se-itse palomuurit utm
Nykyinen hyvin palvellut PC Engines APU2 pfSense pitäisi korvata 2.5GbE aikakauden ratkaisulla. Onko edelleen tilanne se, että käytännössä kohtuuhintaiset järkevät vaihtoehdot ovat kiinalaisten N100 koneet, jos tarpeen olisi saada ainakin 4x2.5GbE portit ja järkevä suorituskyky VPN käyttöön? Onko näissä valmistajien (Topton, Hunsn, ...) kesken suurempia eroja?
- Liittynyt
- 23.10.2016
- Viestejä
- 517
Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:
N100/N200/i3-N305 5-network Fengshang version soft 5-network 2.5G dual M.2 dual SATA dual HDMI/DP/multi-network port mini host
Features: 1. Brand new lntel 12th generation N series full small core low power consumption processor 2. 1*SO-DIMM DDR5 slot 4800MHz compatible with 5200/5600MHZ 3. Five 2.5G network ports Brand new Intel i226-V network card chip 4. 4 4K display outputs Dual HDMI+DP+Type-C (support 3-screen...
cwwk.net
Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.
Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.
Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.
- Liittynyt
- 01.02.2017
- Viestejä
- 367
Palomuurisäännöt oli kunnossa. Vika löytyi Adguardin asetuksista.
Kävin alusta asti läpi Adguardin asetukset seuraamalla tätä ohjetta:
How to setup AdGuard Home DNS on OPNsense with Unbound - windgate
Why do I need AdGuard Home as my internal DNS resolver?AdGuard Home is a free and open-source software that can block ads and tracking on all devices connected to your home Wi-Fi network. Unlike traditional ad blockers that only work on specific devices or browsers, AdGuard Home covers all...
windgate.net
Todennäköisesti se mikä ongelmat aiheutti oli puuttuvat määritykset siitä mitä verkkoja Adguardin pitäisi kuunnella. Tämän pystyy määrittämään asennuksen yhteydessä, mutta kyseiseen asetukseen ei pääse käsiksi jälkeenpäin muuten kuin muokkaamalla .yaml tiedostoa.
Eli SSH:lla sisään Opnsenseen ja edit /usr/local/AdGuardHome/AdGuardHome.yaml
Ao. kohtaan kun lisäsi kaikki VLAN-verkot niin alkoi toimimaan. Aiemmin kuunteli siis pelkästään LAN-aluetta.
Koodi:
dns:
bind_hosts:
- 127.0.0.1
- 192.168.2.1
- 192.168.10.1
- 192.168.20.1
- 192.168.30.1
- 192.168.40.1
- 192.168.50.1Kiitos kattavista havainnoista. Pitää laittaa tuo Netgate 2100 harkintaan, hintaero ei kuitenkaan ole niin suuri verrattuna Kiinan vermeisiin.Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:
N100/N200/i3-N305 5-network Fengshang version soft 5-network 2.5G dual M.2 dual SATA dual HDMI/DP/multi-network port mini host
Features: 1. Brand new lntel 12th generation N series full small core low power consumption processor 2. 1*SO-DIMM DDR5 slot 4800MHz compatible with 5200/5600MHZ 3. Five 2.5G network ports Brand new Intel i226-V network card chip 4. 4 4K display outputs Dual HDMI+DP+Type-C (support 3-screen...cwwk.net
Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.
Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.
Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.
- Liittynyt
- 18.10.2016
- Viestejä
- 1 242
Mä luulin että 4200 on se hinnat alkaen 2.5gbe Netgate, siis jos toi nopeempi wan oli hakusalla.
- Liittynyt
- 23.10.2016
- Viestejä
- 517
Totta, muuten. 2100:ssa on gigaiset portit, ja 4200:ssa on 2.5 Gbps.
Huomasin itsekin tämän vasta, kun kävin Netgaten omien sivujen kautta tutkimassa. Myös suorituskykyarvot mm. VPN:n osalta ovat siellä hyvin erilaiset, mitä Dustinilla tuotetiedoissa. Sinällään tuo Netgaten 2100:lle ilmoittama 250Mbps IPSec suorituskyky olisi ollut riittävä, kun nykyinen laite kykenee reiluun 100Mbps, mutta 4200 näistä tosiaan soveltuvin on. Pitänee tuo laittaa tilaukseen, kun tarve on vain reititys- ja palomuuritoiminnot.
Itsellä on Hunsn 6 porttinen 2.5gbe J sarjan mini PC pfSense käytössä. 2*WAN ja 3*LAN käytössä, eikä ole ollut mitään ongelmia. Toki riskinä on että Kiina tuote, eikä tiedä onko takaportteja tms. Täysin erilliset LAN portit on mielestäni etu koska voi täysin kontrolloida kuinka eri Laneissa/Subneteissa olevat koneet näkevät toisensa.
Olen tutulle antanut oman vanhan OPNsense routerin käyttöön ja hänellä tuli nyt eteen tilanne, että operaattori kyselee MAC-osoitetta laitteesta. Normaalistihan tuo on se modeemin pohjassa lukeva MAC, mutta tuollaisesta Aliexpress router-PC:stä sellaista tietoa nyt ei tietenkään suoraan löydy.
Itse kun en oikein tiedä mihin DNA tuota tietoa edes tarvitsee niin kaivoin WAN-portin MAC-osoitteen ja se nyt kelpasi kuulemma. Oletteko itse törmänneet tällaiseen ja mitä tietoja olette ilmoitelleet? Kyseisessä asunnossa yhteys tulee siis valokuidulla asuntoon, seinässä on RJ45 portti.
Itse kun en oikein tiedä mihin DNA tuota tietoa edes tarvitsee niin kaivoin WAN-portin MAC-osoitteen ja se nyt kelpasi kuulemma. Oletteko itse törmänneet tällaiseen ja mitä tietoja olette ilmoitelleet? Kyseisessä asunnossa yhteys tulee siis valokuidulla asuntoon, seinässä on RJ45 portti.
- Liittynyt
- 22.10.2016
- Viestejä
- 7 393
Jos ottaa kiinteän ip:n niin haluavat mac numeron.
Onko tuossa tarkoituksena jotenkin "rekisteröidä" tuo MAC verkkoon? Tuohon tarkoitukseen WAN MAC varmaan kelpaa, pitää vaan muistaa olla ikinä vaihtamatta porttia...
- Liittynyt
- 17.10.2016
- Viestejä
- 2 154
OPNsense ja/tai ZTE 5G modeemi päättivät lopettaa yhteistyön. En keksi mikä on mutta OPNsense ei millään saa IP osoitetta tuolta ZTE:ltä. Jos laitan läppärin suoraan kiinni ZTE, homma toimii. Jos vaihtan ZTE tilalle vanhan Huawei 4G modeemin niin OPNsense saa IP:n normaalisti.
Tämä OPNsense ja ZTE yhdistelmä siis toimi pitkään hyvin. Muutama kuukausi sitten aloitti kadottamaan IP osoitteen kesken kaiken ja piti boottailla molempia että osoite löytyi. Nyt sitten bootin jälkeen ei enää millään lähde toimimaan. Onko kokemuksia vastaavasta?
Tämä OPNsense ja ZTE yhdistelmä siis toimi pitkään hyvin. Muutama kuukausi sitten aloitti kadottamaan IP osoitteen kesken kaiken ja piti boottailla molempia että osoite löytyi. Nyt sitten bootin jälkeen ei enää millään lähde toimimaan. Onko kokemuksia vastaavasta?
Itselläni on käytössä pfSense ja ZTE:n modeemi. Jos vaikka sähkökatkon jälkeen modeemi ehtii käynnistyä ennen pfSenseä, se ei onnistu saamaan IP:ta, vaikka ZTE:n boottaisi vielä uudelleen. Vasta WAN interrfacen käyttäminen alhaalla ja ylhäällä pfSensen päässä korjaa tilanteen.
Myös sama havainto siitä, että ZTE on ainoa laite, mikä tuota aiheuttaa jumitteluna pfSenselle.
Viimeksi muokattu:
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 092
Mulla on kaapelimodeemi sillattuna niin pfSense sai jossain bootti tilanteessa privaatti IP:n tuolta kaapelimodeemilta (192.168.100.x). Korjaantui hetken päästä.
Seuraavalla pfSense WAN interface asetuksella olen estänyt tuon. Tuo 192.168.100.1 on kaapelimodeemin osoite.
Seuraavalla pfSense WAN interface asetuksella olen estänyt tuon. Tuo 192.168.100.1 on kaapelimodeemin osoite.
Tämä olikin hyvä vinkki, koska myös ZTE käyttäytyy juuri noin, eli tarjoaa hetken privaosoitetta bootin jälkeen.Mulla on kaapelimodeemi sillattuna niin pfSense sai jossain bootti tilanteessa privaatti IP:n tuolta kaapelimodeemilta (192.168.100.x). Korjaantui hetken päästä.
Seuraavalla pfSense WAN interface asetuksella olen estänyt tuon. Tuo 192.168.100.1 on kaapelimodeemin osoite.
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 092
Tuossa OPNsensessä on tuo asetus.
docs.opnsense.org
Interface configuration — OPNsense documentation
| Reject Leases From | Can be used to ignore DHCP leases from ISP-issued modems, for example. |
- Liittynyt
- 17.10.2016
- Viestejä
- 1 163
Sama asetus käytössä myös. Kaapelimodeemi siltaavana mutta tietyissä tilanteissa, muistaakseni ainakin jos modeemin bootatessa kaapelimodeemiyhteyden muodostuksessa kestääkin normaalia pidempään syistä X, tulee kaapelimodeemin DHCP:ltä tuollainen privaatti-IP operaattorin DHCP:n sijaan. Jää sitten WAN ip:ksi reitittimelle senkin jälkeen kun yhteys on oikeasti toiminnassa, kunnes tavalla tai toisella reititin päivittää osoitteensa DHCP:llä.
Olettaisin että featuren tarkoitus on helpottaa modeemin hallintaliittymään pääsyä ongelmatilanteissa. Reititin ei vaan tue tällaista mahdollisuutta.
Olettaisin että featuren tarkoitus on helpottaa modeemin hallintaliittymään pääsyä ongelmatilanteissa. Reititin ei vaan tue tällaista mahdollisuutta.
En usko, että mikää suuresta kolmesta tarjoaa kuluttajamiittymiin kiinteää julkista osoitetta.
Obi-Lan
¯\_(ツ)_/¯
- Liittynyt
- 17.10.2016
- Viestejä
- 2 150
Futro S920 (quad core) näyttäisi hyytyvän ~500Mbps perus palomuurisääntöjen kanssa. Kukaan muu kokeillut rajoja?
Uutiset
-
OnePlussan uudessa keskihintaisessa Nord 4 -älypuhelimessa on metallinen kuorirakenne
16.7.2024 17:00
-
OnePlus julkaisi uuden taulutietokoneensa sekä keskihintaiset nappikuulokkeet ja älykellon
16.7.2024 17:00
-
Uusi artikkeli: Testissä OnePlus Nord 4
16.7.2024 17:00
-
Video: Testissä Motorola Edge 50 Ultra
13.7.2024 17:24
-
Live: io-techin Tekniikkapodcast (25-28/2024)
12.7.2024 13:35
