Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[escalibur]

Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti

Muistelisin että OVH on aina välillä ollut hostaamassa kynseenalaista koodia. Tutkin tarkemmin jos false positive ilmestyy omassa käytössä. Toki lipsumiset ovat aina mahdollisia, mutta en lähtisi poistelemaan listoja yksittäistapausten vuoksi. Säännöllinen riesa on toki asia erikseen.

https://doc.emergingthreats.net/bin/view/Main/2018364

OVH Shared Host SSL Certificate (Observed In Use by Some Trojans)

Ongoing DNS hijacking campaign targeting consumer routers – Bad Packets Report

The IP address of rogue DNS server used in this attack was 66.70.173.48 and hosted by OVH Canada.

164.132.235.17 | OVH SAS | AbuseIPDB

Used by a malware to download an instance of FormBook (www.soulscommunity.com)

Cryptomining Malware Infecting Node-RED servers

This belongs to hosting vendor OVH.

Spamhaus Botnet Threat Report 2017

 

[user9999]

Vois tuota pfBlockerNG taas testata. Kumpi noista kannattaa asentaa normaali vain devel?

 

[Khauron]

Vois tuota pfBlockerNG taas testata. Kumpi noista kannattaa asentaa normaali vain devel?

devel

 

[heebo1974]

Joko fq_codel conffaus ei osunut täysin kodilleen tai sitten se vaan ei toimi yhtä hyvin kuin openwrt:n cake.
Openwrt:llä ei missään tilanteessa bufferbloat mennyt alle A+:n, mutta tällä en vielä ole saanut sitä 100% varmaksi.
Eli vaihtelevasti tulee A tai A+. En oikein tiedä mitä asetuksia pitäisi twiikkailla. Queue lenghtin olen jättänyt tyhjäksi.
Upload ja download rajoituksia olen pudottanut "selvästi" alemmaksi kuin openwrt:llä ja silti ei vielä vakuuta.
Onko se sitten caken paremmuutta vai mistä lie johtuu ?


EDIT: Pikku testiä ja 4000 queue lenghtiksi... A+ pukkaa.
Nyt vain odotellaan kuidun saapumista. Vielä mennään VDSL2:lla.

Juhlin liian aikaisin tuon kanssa. Pienoinen pettymys tuon fq_codelin toiminta pfSensessä vaikka purkissa riittää potkua.
Randomilla saan A+ bufferbloatiksi. Vaihtelee A:n ja A+ välillä, joskus (harvoin) jopa B/C...
Olen nyt päätynyt vähän erilaisiin asetuksiin, jossa itse Codel on vaihdettu Taildropiksi ja sillä A+ tulee useammin kuin Codelilla.
Vanhalla netgearilla ja openwrt:llä tuli käytännössä 100% aina A+.

Tätä ketjua olen seuraillut: Playing with fq_codel in 2.4

En tosin ole poissulkenut sitä, että jokin asetus olisi pielessä.

 

[escalibur]

fq_codel kannattaa tuunata DSLreportsin ilmoittaman nopeuden mukaisesti. Eli jos liittymä on 100MB ja DSLreports ilmoittaa todelliseksi nopeudeksi 86MB/s, silloin kannattaa asettaa 86:ksi, eikä 100. Sama pätee uploadiinkin. Samoin A+:n saamiseksi on syytä varmistaa ettei nettiliittymällä tehdä mitään muuta (katsota Netflixiä, latailla jotain yms.).

 

[heebo1974]

fq_codel kannattaa tuunata DSLreportsin ilmoittaman nopeuden mukaisesti. Eli jos liittymä on 100MB ja DSLreports ilmoittaa todelliseksi nopeudeksi 86MB/s, silloin kannattaa asettaa 86:ksi, eikä 100. Sama pätee uploadiinkin. Samoin A+:n saamiseksi on syytä varmistaa ettei nettiliittymällä tehdä mitään muuta (katsota Netflixiä, latailla jotain yms.).

Jep, tosin eikös tuo A+ juuri pitäisi tulla vaikka verkossa tehtäisiin mitä tahansa. Eikös tuo traffic shaping juuri ole sitä varten, että päästäisiin noihin tuloksiin ? Mitäs järkeä siinä on, että se toimii vain testin aikana.
Tarkoitan siis buffebloat A+ arvoa, en tietenkään niitä nopeuksia.

 

[escalibur]

Jep, tosin eikös tuo A+ juuri pitäisi tulla vaikka verkossa tehtäisiin mitä tahansa. Eikös tuo traffic shaping juuri ole sitä varten, että päästäisiin noihin tuloksiin ? Mitäs järkeä siinä on, että se toimii vain testin aikana.
Tarkoitan siis buffebloat A+ arvoa, en tietenkään niitä nopeuksia.

Tarkoitin lähinnä A+:n saamista. Jos koko fq_codelia ei olisi käytössä silloin tulos saattaa olla kaikkea A+:n ja F:n väliltä riippuen siitä miten hyvin purkissa riittää potku.

 

[user9999]

Vois tuota pfBlockerNG taas testata. Kumpi noista kannattaa asentaa normaali vain devel?

Ihmettelin kun ei ole ipv4 ruleja missään. Piti bootata pfSense.

Mitäs tuo (1) tuossa tarkoittaa? @escalibur tuossa (3)...
Vähän sekava käyttöliittymä

 

[escalibur]

Ihmettelin kun ei ole ipv4 ruleja missään. Piti bootata pfSense.


Mitäs tuo (1) tuossa tarkoittaa? @escalibur tuossa (3)...
Vähän sekava käyttöliittymä

Tarkoittaisikohan se sääntöjen määrää?

 

[user9999]

pfBlockerNG-devel v2.2.5_23
pfBlockerNG-devel v2.2.5_23 by BBcan177 · Pull Request #641 · pfsense/FreeBSD-ports

• Add Easylist Finland Feed

 

[escalibur]

pfBlockerNG-devel v2.2.5_23
pfBlockerNG-devel v2.2.5_23 by BBcan177 · Pull Request #641 · pfsense/FreeBSD-ports

• Add Easylist Finland Feed

Hyvähyvä!

New Feed suggestions : pfBlockerNG

 

[escalibur]

Mielenkiintoinen video pfSensesta ja Enterprise-ympäristöistä:

mm. MasterCardin pfsense-rekry yms.

 

[Gobi]

Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?

 

[user9999]

Failaako muilla pfBlockerNG tuo Talos?

Just eilen sen korjasin niin tänään tuli uusi dev ja sama homma

 

[Gobi]

Failaako muilla pfBlockerNG tuo Talos?

Just eilen sen korjasin niin tänään tuli uusi dev ja sama homma

Sama homma, failannut lisäyksestä (eilisillasta) asti.

 

[user9999]

Sama homma, failannut lisäyksestä (eilisillasta) asti.

Korjasin eilen tuolla "curl" ohjeella.
Feed Update Issue -- Tacos

Korjasin taas

[ Talos_BL_v4 ] Downloading update .
Force Reload Task - All ]
. 200 OK. completed ..

Virhe tuossa ohjessa. Molemmat tiedostot on /usr/local/pkg/pfblockerng/ kansiossa.

 

[user9999]

Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?

En kyllä jaksa muistaa tuosta paljoa. Mulla oli tuollainen konfis joskus, jossa Elisan 100 meganen laajakaista ja Telian 50 meganen mobiililaajakaista. Speedtest näytti tuolle typerästi eli molempien nopeudet yhteen laskettuna.
Kokeile, saatko toivotun tilanteen muuttamalla wanien weight arvot erilaisiksi.

Spoileri: kuva

 

[Gobi]

En kyllä jaksa muistaa tuosta paljoa. Mulla oli tuollainen konfis joskus, jossa Elisan 100 meganen laajakaista ja Telian 50 meganen mobiililaajakaista. Speedtest näytti tuolle typerästi eli molempien nopeudet yhteen laskettuna.
Kokeile, saatko toivotun tilanteen muuttamalla wanien weight arvot erilaisiksi.

Ei vaikuttanut, sama toiminta kuin molemmissa weight 1. Yritän siis juuri tuplata yhteysnopeuden kahdella WANilla, yksittäin molempien liittymien nopeus 70-80MBit/s.

Spoileri: Kuvat

 

[Khauron]

Jos sinulla on kaksi Telian korttia, niin voi olla mahdollisuus, että tukiasema hannaa vastaan. Eli konffi voi olla oikein, mutta tukiasema ei yksinkertaisesti anna pihalle enempää. Heitä joku DNAn pre-paid kortti toiseen sisään, ja testaa.

 

[user9999]

Ei vaikuttanut, sama toiminta kuin molemmissa weight 1. Yritän siis juuri tuplata yhteysnopeuden kahdella WANilla, yksittäin molempien liittymien nopeus 70-80MBit/s.

Spoileri: Kuvat

Will a multi-wan router double my speed ?
Ei tuo onnistu dual wanilla. Sun pitää reitittää pfsensellä esim. kone1 menemään wan1 ja sitten toinen kone2 menemään wan2.

Edit: Eli kokeile useammalla koneella Speedtestiä. Jos Load-Balance toimisi.

 

[Gobi]

Jos sinulla on kaksi Telian korttia, niin voi olla mahdollisuus, että tukiasema hannaa vastaan. Eli konffi voi olla oikein, mutta tukiasema ei yksinkertaisesti anna pihalle enempää. Heitä joku DNAn pre-paid kortti toiseen sisään, ja testaa.

Elisan korttia meinasinkin kokeilla toisessa motukassa, jos tuota on rajoitettu Telian päässä.

Will a multi-wan router double my speed ?
Ei tuo onnistu dual wanilla. Sun pitää reitittää pfsensellä esim. kone1 menemään wan1 ja sitten toinen kone2 menemään wan2.

Edit: Eli kokeile useammalla koneella Speedtestiä. Jos Load-Balance toimisi.

Load balancing oli itselle käsitteenä tuttu, mutta sen toiminta hakusessa. Tässä videolla näkyy tuo konffaus:


Tuota olisin hakemassa, mutta noilla setupeilla ei vielä onnistu. Täytyy katsoa mitä pfSensen perässä oleva AC87U on asetuksiltaan.

 

[Datsyuk13]

Tässä ovat mun käyttämät listat:

Spoileri

Listat ovat valitu harkitusti ja käyttötarpeen mukaan. Jätin kaikki bundle-listat tarkoituksella pois, helpomman vianselvityksen ja paremman ajantasaisuuden varmistamiseksi. Tässäkin asiassa määrä ei siis korvaa laatua.

- Kaikki listat ovat valittu laadun perusteella. Laadulla tarkoitan mahdollisimmna vähän false positiveja ja taustalla pyörivän tahon uskottavuus yms.
- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
- Päivitysajat ovat speksattu listojen tekijöiden ilmoittamien päivitysaikojen mukaan. Ei siis ole järkeä päivittää tiettyä listaa tunnin välein, jos ylläpitäjä päivittää sen kerran päivässä.
- Listat päivittyvät joka yö. Oletuksena pfBlockerNG skippaa päivitämättömät listat automaatisesti.

IPv4:

- PR1:

1. Abuse.ch on tunnettu laadukkaista listoista. He pyörittävät mm. honeynettiä. Heillä on jopa statistiikkaa abuse.ch | Fighting malware and botnets mitä kaikkea ovat tunnistaneet.
2. CINS Army on yhteisö joka selvittelee mitä mikäkin koputteleva IP on yrittämässä. Myös heidän listat ovat perus laadukkaita. Active Threat Intelligence - CINS Army
3. Emerging Threats - Internet-uhkiin erikoistunut yritys. He tekevät useita maksullisia IPS-listoja mm. Snortille. Emerging Threat Intelligence - Cyber Threat Solutions | Proofpoint
4. SANS.edu. (entinen DShield)- Tietoturvaan erikoistunut yliopisto joka ylläpitää omia (Internet Storm Center) listoja. Tarkempaa kuvausta: About Us - SANS Internet Storm Center
5. Talos on Ciscon ostama Internet-uhkiin erikoistunut yritys. Mm. Ciscon enterprise-tason verkkolaitteet käyttävät Talosin estolistoja. https://www.talosintelligence.com/reputation_center

- PR2:

1. Alienvault - AT&T Cybersecurity - Wikipedia (By July 2017, AlienVault Open Threat Exchange platform had 65,000 participants who contributed more than 14 million threat indicators daily)

- PR3:

1. BlockList.de - Varsin suosittu estolista. Tarkempaa infoa: www.blocklist.de -- Fail2Ban-Reporting Service (we sent Reports from Attacks on Postfix, SSH, Apache-Attacks, Spambots, irc-Bots, Reg-Bots, DDos and more) from Fail2Ban via X-ARF.
2. MalwareDomainList.com:n IPv4 estolista. Malware Domain List

- PR4

1. BinaryDefense - Listan ylläpitää tietoturvaan erikoistunut yritys. "Real People Detecting Real Threats in Real Time"
2. Malc0de - MalwareDomainList.com:n kaltainen malware-estolista. Malc0de Database

DNSL/mainosesto:

- Suurin osa on lainattu PiHolen vakiolistoista. Luultavasti tällä hetkellä PiHole kuitenkin käyttää eri listoja.

ADs:
- Cameleon - Erittäin toimiva ja suht koht ongelmaton mainostenestolista
- Disconnect.Me - Estolistoihin erikoistunut yritys.
- Disconnect.Me Privacy - Sama perustelu kuten yllä. "Disconnect is founded on the belief that privacy is a fundamental human right: that people should have the freedom to move about the internet - and their lives - without anyone looking over their shoulder."
- EasyList_Finnish - Suomalaisille tarkoitettu EasyListin "lisälista".
- hpHosts_ATS - Kenties tehokkain mainostenestolista.

Malicious:
- Disconnect.Me:n malwertising-lista. Se pyrkii estämään malwarea sisältävät mainokset. (ei niin tarpeellinen lista)
- MalwareDomainList.com:n estolista. Kenties paras yksittäinen lista tunnistettujen domainien estämiseen. Tämäkin on lähinnä "nice to have".

Cryptojackers:
- CoinBlockerlist - Toinen kahdesta cryptolouhintaestolistoista. Näitä on turhaa selitellä sen enempää. Suosittelen vähintään yhden listan käyttöä, cryptolouhintamainosten ollessa vielä jotenkuten elossa.
- NoCoin - Toinen kahdesta cryptolouhintaestolistoista.

Whitelista:
- Käyttämäni pankit, suomalaiset virastot yms sivustot

Sekä tämä (pfBlockerNG kehittäjän suositus):

Statistiikkaa:

Huom! Nollaa näyttävät lisata tarkoittavat sitä ettei listoissa esiintyviin IP:hin ole yritetty ottaa yhteyttä. Eli noin se pitäisikin olla.

Kyseiset listat estävät myös oman puhelimen kautta kulkevaa liikennettä (OpenVPN:n kautta). Näin puhelimen mainostenesto on juuri sitä mitä sen pitäisikin olla.

Noilla listoilla omassa sisäverkossa olevien koneiden tartuttaminen vaatii jo yrittämistä. Tämän ansiosta esim. Windows Defender on riittävä virustorjunta, kun suurin osa pöpöistä luultavasti jää jo palomuuriin. Näin se pitäisikin olla.


Saa kommenttoida, moittia kehua tai muuten antaa palautetta.

Olisiko jossain aloittelijoiden stepbystep-ohje, jolla tämä ohjelma asennetaan tietokoneelle ja laitetaan toimimaan? Kuulostaa nimittäin hyvältä. Mulla on käytössä Telian 4G-liittymä Huawein B525-modeemin kautta.

Toimiiko tämä firewall/mainosten estäjä myös Androidilla vai pitäisikö asentaa Blokada tai Adguard?

 

[Gobi]

Olisiko jossain aloittelijoiden stepbystep-ohje, jolla tämä ohjelma asennetaan tietokoneelle ja laitetaan toimimaan? Kuulostaa nimittäin hyvältä. Mulla on käytössä Telian 4G-liittymä Huawein B525-modeemin kautta.

Toimiiko tämä firewall/mainosten estäjä myös Androidilla vai pitäisikö asentaa Blokada tai Adguard?

"Ohjelma" on erillinen palomuuri-OS, pyörii omalla raudalla tai virtualisoituna. Minulle tuli torstaina APU4C4-boksi jolla tuota pyöritän, helpompi vaihtoehto on esim. RaspberryPi ja siihen pi-hole. Ei niin kattavat toiminnot, mutta mainostenestossa erittäin hyvä ja halpa.

 

[escalibur]

Olisiko jossain aloittelijoiden stepbystep-ohje, jolla tämä ohjelma asennetaan tietokoneelle ja laitetaan toimimaan?

Olisikohan näille kysyntää?

 

[user9999]

Elisan korttia meinasinkin kokeilla toisessa motukassa, jos tuota on rajoitettu Telian päässä.


Load balancing oli itselle käsitteenä tuttu, mutta sen toiminta hakusessa. Tässä videolla näkyy tuo konffaus:


Tuota olisin hakemassa, mutta noilla setupeilla ei vielä onnistu. Täytyy katsoa mitä pfSensen perässä oleva AC87U on asetuksiltaan.

Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.

 

[Gobi]

Olisikohan näille kysyntää?

Varmasti olisi, tosin löytyyhän noita useammalta sivustolta. Suomenkielistä en ihan heti löytänyt, huomioon otettavia asioita monta:
- Mihin rautaan asennetaan (oikean imagen valinta)
- Sarjayhteyden muodotus ja mitä se vaatii (minulla ei toiminut RS232 FTDI USB UART adapteri, jouduin hakemaan kaverilta pöytäkoneen jossa sarjaliitäntä. Tinasin jatketut johdot ja yhdistin johto kerrallaan pinniliittimillä PC-APU4 )
- Tiedostojärjestelmien erot ja mitä kannataa käyttää UFS/ZFS

Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.

Erittäin hyvin sanottu siellä perällä!

 

[Gobi]

Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.

APUssa on 4 porttia, 2 WAN ja 1 LAN menee Asukselle. Konffasin sen yhden samoilla asetuksilla kuin tuo LAN. Sama tulos nopeustesteillä, seuraavaksi haen lainaan toisen operaattorin SIMin.

 

[Leo_Greta]

Asensin taas pitkästä aikaa pfSenseen OpenVPN-serverin ja rupesin miettiin kaikkia niitä sertifikaatteja, salaus- ja pakkaus-asetuksia. Kuinka paljo porukka muokkailee niitä, vai mennäänkö oletusasetuksilla?

Itse tein nyt oletusasetuksilla mitä tulee salaukseen ja pakkaukseen. Jos ootte jotain muuttanu vs. oletukset, niin mitä ja miksi?

Takaraivossa on jokin hämärä kuva, että läpäisykykyä pystyisi optimoimaan/parantamaan jotenkin asetuksia vaihtamalla.

 

[user9999]

Asensin taas pitkästä aikaa pfSenseen OpenVPN-serverin ja rupesin miettiin kaikkia niitä sertifikaatteja, salaus- ja pakkaus-asetuksia. Kuinka paljo porukka muokkailee niitä, vai mennäänkö oletusasetuksilla?

Itse tein nyt oletusasetuksilla mitä tulee salaukseen ja pakkaukseen. Jos ootte jotain muuttanu vs. oletukset, niin mitä ja miksi?

Takaraivossa on jokin hämärä kuva, että läpäisykykyä pystyisi optimoimaan/parantamaan jotenkin asetuksia vaihtamalla.

Itse en käytä pakkausta ollenkaan.
The VORACLE attack vulnerability | OpenVPN
VORACLE – OpenVPN Community
Feature #8788: Disable compression by default for OpenVPN - pfSense - pfSense bugtracker

 

[a85]

Mitkähän olis hyvät traffic shaper säädöt dual wan lte setupille, missä tuon lte:n nopeus vaihtelee todella paljon päivän aikana? fq_codelia on tähän asti ollut, mutta ruuhkaisina aikoina menee liikenne ihan puuroksi.

Verkossa ~20 aktiivista tietokonetta käyttämässä nettiä, joten pitäisi saada mahdollisimman paljon kaistaa käyttöön.

 

[heebo1974]

Mitkähän olis hyvät traffic shaper säädöt dual wan lte setupille, missä tuon lte:n nopeus vaihtelee todella paljon päivän aikana? fq_codelia on tähän asti ollut, mutta ruuhkaisina aikoina menee liikenne ihan puuroksi.

Verkossa ~20 aktiivista tietokonetta käyttämässä nettiä, joten pitäisi saada mahdollisimman paljon kaistaa käyttöön.

Minun mielestä tuolle ei ole mitään ratkaisua. Itse tappelin kauan 4G liittymän (ainoana liittymänä) tuon shaperin kanssa (openwrt/tomato/gargoyle ympäristössä). EI ollut muuta mahdollisuutta kuin leikata vain kunnolla kaistaa, jos halusi sen toimivan mahdollisimman suurena aikavälinä.
Gargoylessä oli joku dynaaminen QOS, joka pingaili serveriä ja jos ping kasvoi se pudotti automatic upload arvoa. Tuo tavallaan olisi toimiva systeemi, mutta käytännössä se ei kuitenkaan toiminut. Se muistaakseni pudotti uploadia, muttei oikein koskaan palauttanut sitä takaisin.

 

[Leo_Greta]

Miten toi pfBlockerNG pitää konffata että se blokkaa mainokset plus muut OpenVPN-asiakkailta myös?

OpenVPN siis on toiminnassa (yhteys aukeaa, sisäverkon masiinat löytyy, OVPN-asiakas pääsee nettiin, jne.), tosin syystä x se toimii todella hitaasti. Hitaalla tarkoitan, että se miettii sivujen avaamisessa todella kauan joka välissä ja arvelen että se saattas johtua tuosta pfBlockerNG:stä (joka siis taas toimii ihan normaalisti sisäverkon asiakkaiden kanssa). Luurin SpeedTestillä kun testaan nopeutta OpenVPN:n läpi, niin se antaa luuriliittymän normaaleja nopeuksia.

pfBlockerNG:n IP-asetukset:


pfBlockerNG:n DNSBL-asetukset:

 

[escalibur]

Sun pitää valita OpenVPN:n "Outbound Firewall Rules":sta. pfBlockerNG ei pure interfaceen jos sille ei sallita sellaista.

Nettisivujen hitaus voi johtua DNS:stäkin.

 

[Leo_Greta]

Sun pitää valita OpenVPN:n "Outbound Firewall Rules":sta. pfBlockerNG ei pure interfaceen jos sille ei sallita sellaista.

Nettisivujen hitaus voi johtua DNS:stäkin.

Ei tunnu onnistuvan täysin... Ainakaa luuria ei pahemmin kiinnosta toi pfBlockerNG:n DNSBL blokki listat OpenVPN kautta.

IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä.

Pitääkö OpenVPN:lle antaa reitti, tjms. tuonne pfBlockerNG:n Virtuaali IP osoitteeseen (10.10.10.1) joka näkyy tuolla aikasemman postaukseni alemmassa kuvassa?

 

[Khauron]

Ei tunnu onnistuvan täysin... Ainakaa luuria ei pahemmin kiinnosta toi pfBlockerNG:n DNSBL blokki listat OpenVPN kautta.

IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä.

Pitääkö OpenVPN:lle antaa reitti, tjms. tuonne pfBlockerNG:n Virtuaali IP osoitteeseen (10.10.10.1) joka näkyy tuolla aikasemman postaukseni alemmassa kuvassa?

Jakaako DHCP varmasti pfSensen osoitteen DNS:ksi? Onko kuvan mukainen kohta täpätty?
openvpn

 

[Leo_Greta]

Jakaako DHCP varmasti pfSensen osoitteen DNS:ksi? Onko kuvan mukainen kohta täpätty?
openvpn

Kyllä, ensisijaisena ja toissijaisena on sitten Windows Server 2016:n ip.

Pistin täpän myös tuohon Block Outside DNS mikä tuossa kuvassa näkyy.

 

[Khauron]

OpenVPN konffattu full-VPN:ksi (kaikki liikenne kulkee tunnelin läpi), eikä split-VPN:ksi (vain sisäverkkoon kohdistuvat tunneloidaan)?

 

[Khauron]

Huomasin juuri, että ruutu.fi ei toimi pfBlockerNG:n kanssa. Ei, vaikka whitelistaan ".ruutu.fi" ja vedän force reloadin. Apuja?

Edit: Tietokoneella, ei väliä onko Firefox, Chrome, tai Edge.

 

[Leo_Greta]

OpenVPN konffattu full-VPN:ksi (kaikki liikenne kulkee tunnelin läpi), eikä split-VPN:ksi (vain sisäverkkoon kohdistuvat tunneloidaan)?

Kaikki liikenne tunnelin läpi.

En tiä mitä tein, mutta nytten sivut latautuu niinku pitää ja pfBlockerin DNSBL-listatki ottaa osumia luurista . Noh, tää keissi on nyt ainakin toistaiseksi ratkaistu...

 

[Khauron]

Sinulla on kaksi eri DNS:ää määritetty, jossa toisessa (Winkka serveri) ei ole sääntöjä. Luuri oli luultavasti siinä kiinni, ja nyt on pfSensessä. Ota se toinen (Winkka serveri) DNS pois DHCP:ltä, ja käytä DNS1 sekä DNS2:ssa samaa pfSensen osoitetta.

 

[Leo_Greta]

Sinulla on kaksi eri DNS:ää määritetty, jossa toisessa (Winkka serveri) ei ole sääntöjä. Luuri oli luultavasti siinä kiinni, ja nyt on pfSensessä. Ota se toinen (Winkka serveri) DNS pois DHCP:ltä, ja käytä DNS1 sekä DNS2:ssa samaa pfSensen osoitetta.

Pitää tehdä niin. Toi Windowssi on ollu hoitamassa sisäverkon DNS:sää, mut samapa tuo on siirtää sekin pfSensen haltuun, jos se auttas vähentään sekoilua .

 

[Xanthe_]

Itse jos käytän androidia netin jakamiseen niin rootattuna voi terminaalin kautta laittaa vpn, dns määritykset ja ip / portti blokkaukset päälle tarvittaessa niin että puhelin ja wifin kautta yhteydessä olevat laitteet menee samoilla säännöillä.

Tein pienen sovelluksen että napista menee ylläolevat määritykset päälle.

/laiska

 

[Khauron]

Pistetään tännekin threadiin:

Huomasin juuri, että ruutu.fi ei toimi pfBlockerNG:n kanssa. Ei, vaikka whitelistaan ".ruutu.fi" ja vedän force reloadin. Apuja?

Edit: Tietokoneella, ei väliä onko Firefox, Chrome, tai Edge.

Itse itselleni vastaten, whitelistiin:
.ruutu.fi
7caa2.v.fwmrm.net # ruutu.fi needs this in browsers
g3.v.fwmrm.net # ruutu.fi needs this in browsers

Tässä voi olla vielä jumpattavaa, sillä tuo '7caa2.v.fwmrm.net' saattaa olla dynaaminen osoite ja vaihtua aina aika-ajoin. Mutta tällä hetkellä noilla saa ruutu.fi:n toimimaan pfSense + pfBlockerNG-devel -yhdistelmällä. Windows 10 käyttiksenä, jos sillä nyt tässä kohtaa mitään merkitystä on.

AndroidTV:n app toimii ilmankin noita whitelist -lisäyksiä.

Edit: Sain siivottua listan kolmeen riviin. Tuossa on vielä mahdollisuus, että whitelistaa '.v.fwmrm.net', mutta siinä saattaa päästää ylimääräistä läpi.

 

[Gobi]

Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?

Palaan tähän, toisen operaattorin kortti auttoi. 2X Telia ei nopeuttanut yhteyttä yhtään, tänään tuli Elisalta SIM ja nopeus pompsahti mukavasti:

2 x Telian SIM

Telia + Elisa SIM

Asetukset siis oli oikein pfSensessä.

 

[Gobi]

Joku tuossa Load Balancingissa mättää, riippuen latauspaikasta lataa vain toisella WANilla. Eli ei tasaa kuormaa molemmille. Vaikuttaako DNS asetukset tuohon, pfSensen oletus 1.1.1.1 ja toisena 1.0.0.1? Samat on laitettu WANien monitoring osoitteiksi, DNS over TLS käytössä.

 

[kuukie]

Joku tuossa Load Balancingissa mättää, riippuen latauspaikasta lataa vain toisella WANilla. Eli ei tasaa kuormaa molemmille. Vaikuttaako DNS asetukset tuohon, pfSensen oletus 1.1.1.1 ja toisena 1.0.0.1? Samat on laitettu WANien monitoring osoitteiksi, DNS over TLS käytössä.

No ei yhtä tcp streamia saa valumaan kahta putkea pitkin vaikka kuinka koittaa. Eli mitä ikinä lataatkin, niin sen pitäisi sitten tukea useita yhtäaikaisia streameja. Esim Ooklan speedtest tukee ja näin saat sitten testissä nopeamman yhteyden.

 

[Gobi]

No ei yhtä tcp streamia saa valumaan kahta putkea pitkin vaikka kuinka koittaa. Eli mitä ikinä lataatkin, niin sen pitäisi sitten tukea useita yhtäaikaisia streameja. Esim Ooklan speedtest tukee ja näin saat sitten testissä nopeamman yhteyden.

Jep, se kävi mielessä, mutta oletin että toimisi hieman laajemmin. Noh, onhan tuossa nyt kaistaa käytössä, saa splittailla sitä sen mukaan mitä nuo 17 laitetta sitä tarvii. Tasaa kumminkin kuormaa hyvin ilta-aikaan.

 

[escalibur]

Pientä totuuden poikasta..

 

[Lagittaja]

@Gobi Load balancing ≠ link aggregation.
Load balancing (computing) - Wikipedia
Link aggregation - Wikipedia
"Load balancing differs from channel bonding in that load balancing divides traffic between network interfaces on a network socket (OSI model layer 4) basis, while channel bonding implies a division of traffic between physical interfaces at a lower level, either per packet (OSI model Layer 3) or on a data link (OSI model Layer 2) basis with a protocol like shortest path bridging."


Lisäksi se mitä load balance tekee riippuu siitä algoritmista mitä käytetään.
Load Balancing Algorithms and Techniques
pfsense käyttää Round Robinia eli aktiiviset yhteydet jakautuu "tasaisesti" 1-2-1-2-1-2 eri WANeille. Tämä on se yleisin kun se on se helpoin eikä aiheuta ongelmia käyttäjille eli sama liikenne ei käytä eri reittejä ulkomaailmaan.
Lisäksi nämä pitäisi pystyä myös painottamaan (Weighted Round Robin) eli jos tiedetään että toinen yhteys on parempi tjsp niin ne voisi painottaa esim 75/25.

---

P.S. Sivuhuomiona, onko pfsensessä Least Connection, Traffic tai Latency algoritmeja?

 

[user9999]

pfBlockerNG blokkaa NordVPN Suomen palvelimet

Edit: Tällä listalla tuo verkko 196.196.0.0/16
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
https://www.spamhaus.org/query/ip/196.196.201.221