Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Täytyy testata tuota pfSenseä ja sen Openvpn palvelua kun ei ole kokemusta.

Eli nykyinen kokoonpano.
ZyXel Zywall USG100-Plus (dual wan käytössä)
Zotac Box IQ01 (I7-4770T, 16GB, 120GB mSata, 2x Realtek (Ubuntu Server 16.04 ja Openvpn Access Server 2.16))

Eli pistin tuohon Zotac koneeseen sata ssd levyn rinnalle eli siihen asennus.

Löytyi videokin, kuinka konffataan perus openvpn tuohon pfSenseen.

 
PfSense OpenVPN:ssä mielenkiintoinen ominaisuus löytyi liittyen nopeuteen eli ajaa vain yhdellä ytimellä niin saa olla tehokas ydin että jaksaa pyörittää 100Mbps nopeuksilla = PC.
 
PfSense OpenVPN:ssä mielenkiintoinen ominaisuus löytyi liittyen nopeuteen eli ajaa vain yhdellä ytimellä niin saa olla tehokas ydin että jaksaa pyörittää 100Mbps nopeuksilla = PC.
Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.

Multi-Daemon Mode - OpenVPN Support Forum

Pari kuvaa omasta Openvpn Access Serveristä:

yIaTgnQ.jpg


Ovpn tiedostoon tuo lisää remote osoitteet seuraavasti. Eli TCP on vain kerran.

wvlNCWj.jpg

Juu nyt asennettu pfSense ja ei ole ongelmia tuon Zotac koneen kanssa.

J2Fk0Ad.jpg

Testasin tuon pfSensen openvpn palvelun, mutta en ottanu sitä käyttöön. Asensin virtuaaliin Ubuntu Server 16.04 ja siihen Openvpn Access Server. On jo monta vuotta tullu käytettyä tuota Access Serveriä niin sen konffaus tulee selkärangasta.
Jostakin kummasta syystä pääsen parempiin nopeuksiin tuolla virtuaalisella Access Serverillä vs. pfSense Openvpn. En tiedä mistä johtuu ja en viitsi sitä sen tarkemmin selvittää.

Nyt pari viikkoa testiä eli miten pfSense toimii.
 
Ei ollu tuo hardware crypto oletuksena päällä. Sai myös laitettua tuon prossun lämmöt näyttämään oikein.

Q5Z0paQ.jpg

mNILZZn.jpg
 
Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.
 
Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.
Tarkoitat siis mitä? Jokin ratakisko siirtyy servomoottorin kanssa eri kohtaan ja estää tietyn liikenteen? Mutta mitä, tarvitset silti ohjelmiston ohjaamaan sitä, ellet sitten itse istu ruudun ääressä sekä tarkkaile liikennettä ja itse väännä ratakiskoa oikeaan kohtaan. Voitko avata hieman tarkemmin mitä yrität hakea "oikeasti raudalla toteutetulla palomuurilla"?
 
Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.

Jos meinaat, että onko olemassa palomuureja, joiden rauta - piirejä myöten - olisi suunniteltu nimenomaan palomuuri-käyttöön, niin varmasti löytyykin.

Mutta jokatapauksessa kyseessä on, noh, tietokone. Ja jokin ohjelmisto siinä pyörii.

Joten "palomuuritoiminnallisuudelle omistettu pc" on "rautapalomuuri" siinä missä joku tuhansien ciscokin.
 
Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.

Multi-Daemon Mode - OpenVPN Support Forum

Pari kuvaa omasta Openvpn Access Serveristä:

yIaTgnQ.jpg


Ovpn tiedostoon tuo lisää remote osoitteet seuraavasti. Eli TCP on vain kerran.

wvlNCWj.jpg

Juu nyt asennettu pfSense ja ei ole ongelmia tuon Zotac koneen kanssa.

J2Fk0Ad.jpg

Testasin tuon pfSensen openvpn palvelun, mutta en ottanu sitä käyttöön. Asensin virtuaaliin Ubuntu Server 16.04 ja siihen Openvpn Access Server. On jo monta vuotta tullu käytettyä tuota Access Serveriä niin sen konffaus tulee selkärangasta.
Jostakin kummasta syystä pääsen parempiin nopeuksiin tuolla virtuaalisella Access Serverillä vs. pfSense Openvpn. En tiedä mistä johtuu ja en viitsi sitä sen tarkemmin selvittää.

Nyt pari viikkoa testiä eli miten pfSense toimii.

Tuunasin nyt tuota pfSensen openvpn palvelua. Nyt pääsee samoihin nopeuksiin kuin Access Serverillä. Eli mennään nyt tällä testiä.

Näin lyhyellä testillä niin pfSense vaikuttaa hyvältä.
 
Testattu pfSensen openvpn palvelua iperf2 työkalulla. Testikokoonpano:

pfSense purkki: Zotac ZBox IQ01 (I7-4770T, 16GB, 2x Realtek)
Työasema1: Mac Mini Late 2014 (i7-4578U 3.00 GHz, 16GB, macOS 10.12.5)
Työasema2: Intel NUC NUC5i5RYH (i5-5250U, 16GB, Windows 10 Pro Version 1703)

Eli pistin macin karvalla pfSensen WAN porttiin. Macin ip oli 100.0.0.2 ja pfSensen WAN ip 100.0.0.1. Sitten openvpn ovpn tiedostoon konfis "remote 100.0.0.1 portti udp.

Openvpn palvelimessa:
Key: 2048 bit OpenVPN static key
DH Parameter lenght (bits): 2048
Encryption Algorithm: AES-256-CBC (256 bit key, 128 bit block)
Auth digest algorithm: SHA512 (512-bit)

Sitten vaan macillä openvpn yhteys pystyyn. IP:t on seuraavat:

Mac: 10.0.8.2 (openvpn tunnelin ip)
Nuc: 192.168.1.18 (sisäverkon ip)
pfSense: 192.168.1.1 (sisäverkon ip kun näkyy sekin esiintyvän noissa kuvissa)

1. Mac iperf client ja nuc server

l9mCENO.jpg

5coWeaE.jpg


2. Mac iperf server ja Nuc client:

n6ICwnh.jpg


JDs09hR.jpg


3. Tässä vielä nopeus kun ajetaan iperffiä gigasessa verkossa ilman vpn palvelua

vn04dXH.jpg

Eli tämmöisiin nopeuksiin pääsee omalla pfSense palvelimella kun openvpn asetukset yllämainitut.
 
Viimeksi muokattu:
Jossain openvpn-konffissa oli:
Koodi:
tun-mtu 9000
fragment 0
mssfix 0
cipher aes-256-cbc
engine aesni
Noista kolme ensimmäistä oli merkittäviä raudasta riippumatta.

Mitä muuten menee reitittimestä läpi ilman openvpn:ää? (Eli port forward:lla.)
 
Jossain openvpn-konffissa oli:
Koodi:
tun-mtu 9000
fragment 0
mssfix 0
cipher aes-256-cbc
engine aesni
Noista kolme ensimmäistä oli merkittäviä raudasta riippumatta.

Mitä muuten menee reitittimestä läpi ilman openvpn:ää? (Eli port forward:lla.)
Täytyy kokeilla vielä jossain vaiheessa säätää tuota openvpn palvelinta. Nyt se on liian tiukaksi säädetty.

Ilman openvpn menee pfSensestä läpi sen mitä gigasista verkkokorteista saa irti (port forward 5001 porttiin).

Client: Ikivanha Macbook Pro 2010 läppäri. (karvalla kiinni pfSensen WAN portissa)
Server: Mac mini Late 2014

iGHtGce.jpg



5zKKsbI.jpg
 
Viimeksi muokattu:
Nyt tuunattu lisää ja saa riittää tämän 2.3.4-RELEASE osalta. Nämä lisätty palvelimen konfikseen.
Koodi:
fast-io
sndbuf 393216;
rcvbuf 393216;

Nopeus parani mukavasti ja huomattavasti tasaisempaa vs. edellisessä testissä.

1. Mac iperf client ja nuc server:

UqeuWEW.jpg

ApLaEZQ.jpg


2. Mac iperf server ja Nuc client:

QgTf7VW.jpg

k1YpbMN.jpg

Keskeneräistä pfSense 2.4 taidan vielä testata jossain vaiheessa. Asennan toiselle levylle. Tuossa uudempi openvpn 2.4.x jossa merkittäviä parannuksia.
2.4 New Features and Changes - PFSenseDocs
 
Ei jäänytkään duunaus vielä tähän 2.3.4-RELEASE osalta.:D Eli nyt:

Openvpn palvelimessa ja osa clienteissa:
Key: 2048 bit OpenVPN static key
DH Parameter lenght (bits): 2048
Encryption Algorithm: AES-256-CBC (256 bit key, 128 bit block)
Auth digest algorithm: SHA512 (512-bit)

tun-mtu 9000;
fragment 0;
mssfix 0;
fast-io;
sndbuf 100000; (Tämä kopioitu OpenVPN Access Serverin asetuksista)
rcvbuf 100000; (Tämä kopioitu OpenVPN Access Serverin asetuksista)

PfSensen System Tunables kohdassa:
net.inet.ip.fastforwarding = 1

1. Mac iperf client ja nuc server:

0DMZjnj.jpg

4U49alc.jpg


2. Mac iperf server ja Nuc client:

39OKTpa.jpg

KWwoz30.jpg

En nyt äkkiä keksi enään mitään, millä saisi paremmaksi. :)
 
Viimeksi muokattu:
Tääläpä tehty kovia nopeuksia. Itse ajan Pfsenseä virtuaalipalvelimella ja OpenVPN:llä yhdellä corella noin 100Mbps maksimia juuri ja juuri. 1Gbps on linkki molempiin suuntiin mutta taitaapi tarvita jo ihan delikoidun laitteen jos tollaisiin 400Mbps haluaa päästä.
 
Tääläpä tehty kovia nopeuksia. Itse ajan Pfsenseä virtuaalipalvelimella ja OpenVPN:llä yhdellä corella noin 100Mbps maksimia juuri ja juuri. 1Gbps on linkki molempiin suuntiin mutta taitaapi tarvita jo ihan delikoidun laitteen jos tollaisiin 400Mbps haluaa päästä.
Mikä virtuaalisofta sulla käytössä ja millainen host?

Mulla pyörii Openvpn Access Server (Ubuntu Server 16.04) vielä käyttämättömänä Vmware Fusion Professional 8.5.8 päällä. Fusion pyörii macOS Sierra serverin päällä (Mac Mini late 2012, 16GB, i7-3615QM 2.3GHz).
Voisin jossain vaiheessa testata mihin nopeuksiin tuolla pääsee.
 
Mikä virtuaalisofta sulla käytössä ja millainen host?

Mulla pyörii Openvpn Access Server (Ubuntu Server 16.04) vielä käyttämättömänä Vmware Fusion Professional 8.5.8 päällä. Fusion pyörii macOS Sierra serverin päällä (Mac Mini late 2012, 16GB, i7-3615QM 2.3GHz).
Voisin jossain vaiheessa testata mihin nopeuksiin tuolla pääsee.

Pfsense nyt on käytössä, Proxmox alustana, Dell R610 serverinä sielä alla, 2x Xeonia, 48GB RAM. Vähän pitäisi saada single core performancea, pfsense openvpn ilmeisesti ajaa vaan yhdellä ytimellä joka siis rajoittaa jotenkin tota... Mutta toisaalta minulle riittää 100Mbps linkkikin kun pääasiassa sellaiset yhteydet on.
 
Pfsense nyt on käytössä, Proxmox alustana, Dell R610 serverinä sielä alla, 2x Xeonia, 48GB RAM. Vähän pitäisi saada single core performancea, pfsense openvpn ilmeisesti ajaa vaan yhdellä ytimellä joka siis rajoittaa jotenkin tota... Mutta toisaalta minulle riittää 100Mbps linkkikin kun pääasiassa sellaiset yhteydet on.
Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xx
sarjalaisissa tuli vasta AES-NI tuki.
AES instruction set - Wikipedia
En sitten tiedä, miten virtuaali tuota AES-NI juttua käyttää.
 
Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xx
sarjalaisissa tuli vasta AES-NI tuki.
AES instruction set - Wikipedia
En sitten tiedä, miten virtuaali tuota AES-NI juttua käyttää.

Katos perhana kun on 2x E5504 niin eipä tukea löydy... Jospa jossain vaiheessa uudempaa rautaakin... Mutta kelpaa toi 100Mbps nyt päivittäisessäkin käytössä.
 
Katos perhana kun on 2x E5504 niin eipä tukea löydy... Jospa jossain vaiheessa uudempaa rautaakin... Mutta kelpaa toi 100Mbps nyt päivittäisessäkin käytössä.
Juu riittää tuo 100Mbps paremmin kuin hyvin eli turhaa alkaa palvelinta sen takia uusimaan :D PfSense 2.5 vaati sitten jo AES-NI prossut.
pfSense 2.5 and AES-NI
 
OPNsense vanhassa Proliant ML110 G6 koneessa (Pentium 4 - single core/hyperthreading).
 
Pfsense tuli laitettua vanhaan Lenovon desktoppiin nyt ensihätään (i5-2400,4Gt,500Gt), pitää katsella jotain vähävirtaisempaa vaihtoehtoa kunhan ehtii. Tilailin siihen lisäksi 2kpl Intelin 2-porttisia verkkokortteja, joten portteja on käytössä nyt yhteensä 5kpl. Aiemmin käytössä ollut RT-AC66U siirtyi hoitamaan pelkkiä wlan-tehtäviä. Ainut erikoisempi konffi on neljä toisistaan eristettyä verkkoa ja jatkossa openvpn. Väittäisin myös nettiä pirteämmäksi kuorman alla kuin tuolla Asuksen reitittimellä. Tuohon vielä kylkeen pari kunnon vlanit ja link aggregationit hanskaavaa kytkintä niin alkaa olla kotiverkkokin kunnossa :)
 
Pfsense tuli laitettua vanhaan Lenovon desktoppiin nyt ensihätään (i5-2400,4Gt,500Gt), pitää katsella jotain vähävirtaisempaa vaihtoehtoa kunhan ehtii. Tilailin siihen lisäksi 2kpl Intelin 2-porttisia verkkokortteja, joten portteja on käytössä nyt yhteensä 5kpl. Aiemmin käytössä ollut RT-AC66U siirtyi hoitamaan pelkkiä wlan-tehtäviä. Ainut erikoisempi konffi on neljä toisistaan eristettyä verkkoa ja jatkossa openvpn. Väittäisin myös nettiä pirteämmäksi kuorman alla kuin tuolla Asuksen reitittimellä. Tuohon vielä kylkeen pari kunnon vlanit ja link aggregationit hanskaavaa kytkintä niin alkaa olla kotiverkkokin kunnossa :)
Itsellä pyörii pfSense ihan ok tuon Zotac ZBox IQ01 päällä. Tuossa vain kaksi verkkokorttia (Realtek) niin täytyy jossain vaiheessa rakentaa tuohon pfSense käyttöön kone, jossa enemmän verkkokortteja. Saa dual wanin toimimaan.

Supermicrolla on jotain emoja, missä jopa Quad GbE LAN ports.
Best SuperMicro motherboard at the moment?
No täytyy tutkia.
 


ei oikein selviä mitä tuohon tunnel network kohtaan pitäisi laittaa?
jos laitan 10.0.8.0/24 verkon niin yhdistää mutta ei pääse sisäverkkoon, laitoin local network kohtaan tuon 192.168.1.0/24.
jos taas laitan tunnel network kohtaan tuon 192.168.1.1/24 niin ei yhdistä.
verkkoni on siis tuo 192.168.1.0/24 jossa tuo .1 on pfsense.
 
ei oikein selviä mitä tuohon tunnel network kohtaan pitäisi laittaa?
jos laitan 10.0.8.0/24 verkon niin yhdistää mutta ei pääse sisäverkkoon, laitoin local network kohtaan tuon 192.168.1.0/24.
jos taas laitan tunnel network kohtaan tuon 192.168.1.1/24 niin ei yhdistä.
verkkoni on siis tuo 192.168.1.0/24 jossa tuo .1 on pfsense.
Tunnel networkkiin tuo 10. alkuinen. Mihin laitteeseen yrität yhdistää sisäverkossa? Onko siinä palomuuri?
 
Ei ole palomuuria, enigma2 pohjainen digiboksi.
Pivpn skriptillä asensin yhteen virtuaalipalvelimeen kokeeksi ja pääsen kaikkiin sisäverkon laitteisiin sitä kautta.toki nattaus piti tehdä.
Löytykin selitys noille asetuksille OpenVPN Remote Access Server - PFSenseDocs
 
Moi!

Löytyisikö tätä kautta jeesiä pfsense + Huawei E3372 ongelmaan kun ei meinaa lähteä tulille. 4G yhteys on ainoa järkevä nopeusvaihtoehto missä asun ja nyt pitäisi saada samalla purnukalla toimimaan sekä pfsense että mokkulan hanskaus.

E3372 FW on 22.286.03.00.17.

Pitäisikö edelleen kuitenkin koittaa laittaa Dovado Pro bridge tilaan ja hoitaa homma sitä kautta? Aikaisemmin kun kokeilin niin aina kun pfsense päivitti dhcp:lla wan-puolen osoitettaan niin yhteys meni jumiin (noin vuosi sitten tuli kokeiltua). Samanmoista ongelmaa on muutama viesti tuolla pfsense-foorumilla.

Toisena vaihtoehtona voisi ehdottaa mahdollisimman halpaa 4G modeemia joka osaisi bridge-tilan jos korvaisin tuon Dovadon (jos siinä edelleen samoja ongelmia pfsensen kanssa).

Täällä Interestin behaving with Dovado Pro vähän kuvattuna ongelmaa pfsense - dovado pro.
 
Viimeksi muokattu:
Moi!

Löytyisikö tätä kautta jeesiä pfsense + Huawei E3372 ongelmaan kun ei meinaa lähteä tulille. 4G yhteys on ainoa järkevä nopeusvaihtoehto missä asun ja nyt pitäisi saada samalla purnukalla toimimaan sekä pfsense että mokkulan hanskaus.

E3372 FW on 22.286.03.00.17.

Pitäisikö edelleen kuitenkin koittaa laittaa Dovado Pro bridge tilaan ja hoitaa homma sitä kautta? Aikaisemmin kun kokeilin niin aina kun pfsense päivitti dhcp:lla wan-puolen osoitettaan niin yhteys meni jumiin (noin vuosi sitten tuli kokeiltua). Samanmoista ongelmaa on muutama viesti tuolla pfsense-foorumilla.

Toisena vaihtoehtona voisi ehdottaa mahdollisimman halpaa 4G modeemia joka osaisi bridge-tilan jos korvaisin tuon Dovadon (jos siinä edelleen samoja ongelmia pfsensen kanssa).

Täällä Interestin behaving with Dovado Pro vähän kuvattuna ongelmaa pfsense - dovado pro.
Tuolla Dovado Pro, Huawei E3372 ja pfSense yhdistelmällä on ollut jotain ongelmaa.
https://murobbs.muropaketti.com/posts/1714959137/
 
Viimeksi muokattu:
Terve
Rakentelen tässä pfSenseen kaksivaiheista autentikointia käyttäen MOTP:tä. Kyseessä siis tämä
Mobile One-time Passwords with FreeRADIUS - PFSenseDocs
Olen varmistanut että puhelimen joka luo kertakäyttöisen salasanan offset time sekä freeradius palvelimen offsettime ovat samat. Eli nolla. Security key on pfSenseen näpytelty se minkä mobiililaite luo. Kuitenkin kun yritän kirjautua openvpn käyttäen puhelimella luotua koodia saan logiin viestin
Jul 30 17:44:36
radiusd
55619
(1) Login incorrect (Failed retrieving values required to evaluate condition): [labra/260620] (from client vpn port 1195)
Jul 30 17:45:36
root

FreeRADIUS: Authentication failed! Mobile-One-Time-Password incorrect. 1 attempts left.
Jul 30 17:45:36
radiusd
55619
(2) Login incorrect (Failed retrieving values required to evaluate condition): [labra/76a936] (from client vpn port 1195)
Itseltäni alkavat ideat loppua mikä tässä voisi olla vikana. Normaalisti salasanalla ja käyttäjätunnuksella openvpn autentikointi toimii oikein hyvin ja kivuttomasti. Mistä lähteä ratkaisemaan ongelmaa. Freeradiuksen versio jota käytän on freeradius3-3.0.15. Olen kokeillut myös google authentikatoria kun sellainen vaihtoehto on myös pfSensessä nykyään sama ongelma. Pinkoodi pfSense mielestä väärä.
 
Terve
Rakentelen tässä pfSenseen kaksivaiheista autentikointia käyttäen MOTP:tä. Kyseessä siis tämä
Mobile One-time Passwords with FreeRADIUS - PFSenseDocs
Olen varmistanut että puhelimen joka luo kertakäyttöisen salasanan offset time sekä freeradius palvelimen offsettime ovat samat. Eli nolla. Security key on pfSenseen näpytelty se minkä mobiililaite luo. Kuitenkin kun yritän kirjautua openvpn käyttäen puhelimella luotua koodia saan logiin viestin
Jul 30 17:44:36
radiusd
55619
(1) Login incorrect (Failed retrieving values required to evaluate condition): [labra/260620] (from client vpn port 1195)
Jul 30 17:45:36
root

FreeRADIUS: Authentication failed! Mobile-One-Time-Password incorrect. 1 attempts left.
Jul 30 17:45:36
radiusd
55619
(2) Login incorrect (Failed retrieving values required to evaluate condition): [labra/76a936] (from client vpn port 1195)
Itseltäni alkavat ideat loppua mikä tässä voisi olla vikana. Normaalisti salasanalla ja käyttäjätunnuksella openvpn autentikointi toimii oikein hyvin ja kivuttomasti. Mistä lähteä ratkaisemaan ongelmaa. Freeradiuksen versio jota käytän on freeradius3-3.0.15. Olen kokeillut myös google authentikatoria kun sellainen vaihtoehto on myös pfSensessä nykyään sama ongelma. Pinkoodi pfSense mielestä väärä.
Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools
 
Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools

Joo voisi tuon ntp*:n asentaa pfSenseen ja katsoa auttaako. Mielenkiintoiseksi menee
 
Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools
Katselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.
 
Katselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.
Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.org
 
Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.org
Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.
 
Tuo ajan voi katsoa pfSensessä command promptissa eli date käsky. Näyttää vain sen hetkisen ajan, mutta sitä voi verrata samaan aikaan laitteeseen (puhelin), missä esim. Google Authenticator softa.

6X48ltL.jpg


Itsellä oli joskus puhelimen kello väärässä ajassa vs. palvelin (Openvpn Access Server) Muistelen, että oli reilu 10s edellä tai jäljessä niin tuli noita kirjautumisvirheitä välillä. En tiedä mistä iPhone aikaa hakee. Hakiskohan operaattorilta (en tiedä), mutta ongelma korjaantui samana päivänä.
 
Viimeksi muokattu:
Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.
En lupaa, mutta voin tuota testata jossain vaiheessa. Tilasin just tänään uutta pfSense rautaa ja osat saapuu varmaan ensiviikon alussa. Tuo kun pystyssä niin voin kokeilla tuolla vanhalla zotac koneella, jossa pfsense.
 
Tuo ajan voi katsoa pfSensessä command promptissa eli date käsky. Näyttää vain sen hetkisen ajan, mutta sitä voi verrata samaan aikaan laitteeseen (puhelin), missä esim. Google Authenticator softa.

6X48ltL.jpg


Itsellä oli joskus puhelimen kello väärässä ajassa vs. palvelin (Openvpn Access Server) Muistelen, että oli reilu 10s edellä tai jäljessä niin tuli noita kirjautumisvirheitä välillä. En tiedä mistä iPhone aikaa hakee. Hakiskohan operaattorilta (en tiedä), mutta ongelma korjaantui samana päivänä.
Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.
 
Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.
Siinä näkyy aikavyöhyke ennen vuosilukua, onko se EEST?

e: Tällä hetkellä mulla on käytössä Snort, josta saanut karsittua false-positivet pois, pitäisikö vaihtaa Suricataan? Mitä etua Suricatassa on verrattuna Snorttiin?
 
Ei ole vaan GMT. Miten tuon voisi muuttaa. Puhelimen asetuksissa kaikki näkyy oikein.
Testaa ottaa automaattinen aikavyöhyke pois ja koita asettaa se manuaalisesti GMT+3. Jos ei toimi niin testaa ottaa hetkeksi automaattinen päivä ja aika pois päältä. Jos ei toimi niin käynnistä puhelin uudelleen.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
259 164
Viestejä
4 503 748
Jäsenet
74 336
Uusin jäsen
Taniiih

Hinta.fi

Back
Ylös Bottom