Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[escalibur]

pfSense 2.3.4 RELEASE Now Available!

 

[escalibur]

pfSensea voi rikastaa myös tällä:

 

[user9999]

Täytyy testata tuota pfSenseä ja sen Openvpn palvelua kun ei ole kokemusta.

Eli nykyinen kokoonpano.
ZyXel Zywall USG100-Plus (dual wan käytössä)
Zotac Box IQ01 (I7-4770T, 16GB, 120GB mSata, 2x Realtek (Ubuntu Server 16.04 ja Openvpn Access Server 2.16))

Eli pistin tuohon Zotac koneeseen sata ssd levyn rinnalle eli siihen asennus.

Löytyi videokin, kuinka konffataan perus openvpn tuohon pfSenseen.

 

[olkitu]

PfSense OpenVPN:ssä mielenkiintoinen ominaisuus löytyi liittyen nopeuteen eli ajaa vain yhdellä ytimellä niin saa olla tehokas ydin että jaksaa pyörittää 100Mbps nopeuksilla = PC.

 

[user9999]

PfSense OpenVPN:ssä mielenkiintoinen ominaisuus löytyi liittyen nopeuteen eli ajaa vain yhdellä ytimellä niin saa olla tehokas ydin että jaksaa pyörittää 100Mbps nopeuksilla = PC.

Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.

Multi-Daemon Mode - OpenVPN Support Forum

Pari kuvaa omasta Openvpn Access Serveristä:

Spoileri: Kuvat

Ovpn tiedostoon tuo lisää remote osoitteet seuraavasti. Eli TCP on vain kerran.

Juu nyt asennettu pfSense ja ei ole ongelmia tuon Zotac koneen kanssa.

Spoileri: Kuva

Testasin tuon pfSensen openvpn palvelun, mutta en ottanu sitä käyttöön. Asensin virtuaaliin Ubuntu Server 16.04 ja siihen Openvpn Access Server. On jo monta vuotta tullu käytettyä tuota Access Serveriä niin sen konffaus tulee selkärangasta.
Jostakin kummasta syystä pääsen parempiin nopeuksiin tuolla virtuaalisella Access Serverillä vs. pfSense Openvpn. En tiedä mistä johtuu ja en viitsi sitä sen tarkemmin selvittää.

Nyt pari viikkoa testiä eli miten pfSense toimii.

 

[Kaiser Soze]

iptables ja Raspberry Pi on mun valinta.

 

[escalibur]

Hyödyllinen artikkeli mainosten ja muun nettiroskan estämiseen pfSensella:

pfSense DNSBL - No more ads for me! | doyler.net

 

[user9999]

Ei ollu tuo hardware crypto oletuksena päällä. Sai myös laitettua tuon prossun lämmöt näyttämään oikein.

Spoileri: Kuvat

 

[jive]

Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.

 

[Asiantuntija]

Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.

Tarkoitat siis mitä? Jokin ratakisko siirtyy servomoottorin kanssa eri kohtaan ja estää tietyn liikenteen? Mutta mitä, tarvitset silti ohjelmiston ohjaamaan sitä, ellet sitten itse istu ruudun ääressä sekä tarkkaile liikennettä ja itse väännä ratakiskoa oikeaan kohtaan. Voitko avata hieman tarkemmin mitä yrität hakea "oikeasti raudalla toteutetulla palomuurilla"?

 

[coixi]

Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.

Jos meinaat, että onko olemassa palomuureja, joiden rauta - piirejä myöten - olisi suunniteltu nimenomaan palomuuri-käyttöön, niin varmasti löytyykin.

Mutta jokatapauksessa kyseessä on, noh, tietokone. Ja jokin ohjelmisto siinä pyörii.

Joten "palomuuritoiminnallisuudelle omistettu pc" on "rautapalomuuri" siinä missä joku tuhansien ciscokin.

 

[jive]

Tarkoitin ASIC ja/tai FPGA toteutusta.

 

[user9999]

Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.

Multi-Daemon Mode - OpenVPN Support Forum

Pari kuvaa omasta Openvpn Access Serveristä:

Spoileri: Kuvat

Ovpn tiedostoon tuo lisää remote osoitteet seuraavasti. Eli TCP on vain kerran.

Juu nyt asennettu pfSense ja ei ole ongelmia tuon Zotac koneen kanssa.

Spoileri: Kuva

Testasin tuon pfSensen openvpn palvelun, mutta en ottanu sitä käyttöön. Asensin virtuaaliin Ubuntu Server 16.04 ja siihen Openvpn Access Server. On jo monta vuotta tullu käytettyä tuota Access Serveriä niin sen konffaus tulee selkärangasta.
Jostakin kummasta syystä pääsen parempiin nopeuksiin tuolla virtuaalisella Access Serverillä vs. pfSense Openvpn. En tiedä mistä johtuu ja en viitsi sitä sen tarkemmin selvittää.

Nyt pari viikkoa testiä eli miten pfSense toimii.

Tuunasin nyt tuota pfSensen openvpn palvelua. Nyt pääsee samoihin nopeuksiin kuin Access Serverillä. Eli mennään nyt tällä testiä.

Näin lyhyellä testillä niin pfSense vaikuttaa hyvältä.

 

[user9999]

Testattu pfSensen openvpn palvelua iperf2 työkalulla. Testikokoonpano:

pfSense purkki: Zotac ZBox IQ01 (I7-4770T, 16GB, 2x Realtek)
Työasema1: Mac Mini Late 2014 (i7-4578U 3.00 GHz, 16GB, macOS 10.12.5)
Työasema2: Intel NUC NUC5i5RYH (i5-5250U, 16GB, Windows 10 Pro Version 1703)

Eli pistin macin karvalla pfSensen WAN porttiin. Macin ip oli 100.0.0.2 ja pfSensen WAN ip 100.0.0.1. Sitten openvpn ovpn tiedostoon konfis "remote 100.0.0.1 portti udp.

Openvpn palvelimessa:
Key: 2048 bit OpenVPN static key
DH Parameter lenght (bits): 2048
Encryption Algorithm: AES-256-CBC (256 bit key, 128 bit block)
Auth digest algorithm: SHA512 (512-bit)

Sitten vaan macillä openvpn yhteys pystyyn. IP:t on seuraavat:

Mac: 10.0.8.2 (openvpn tunnelin ip)
Nuc: 192.168.1.18 (sisäverkon ip)
pfSense: 192.168.1.1 (sisäverkon ip kun näkyy sekin esiintyvän noissa kuvissa)

Spoileri: Testit

1. Mac iperf client ja nuc server

2. Mac iperf server ja Nuc client:

3. Tässä vielä nopeus kun ajetaan iperffiä gigasessa verkossa ilman vpn palvelua

Eli tämmöisiin nopeuksiin pääsee omalla pfSense palvelimella kun openvpn asetukset yllämainitut.

 

[keskiverto]

Jossain openvpn-konffissa oli:

tun-mtu 9000
fragment 0
mssfix 0
cipher aes-256-cbc
engine aesni

Noista kolme ensimmäistä oli merkittäviä raudasta riippumatta.

Mitä muuten menee reitittimestä läpi ilman openvpn:ää? (Eli port forward:lla.)

 

[user9999]

Jossain openvpn-konffissa oli:

tun-mtu 9000
fragment 0
mssfix 0
cipher aes-256-cbc
engine aesni

Noista kolme ensimmäistä oli merkittäviä raudasta riippumatta.

Mitä muuten menee reitittimestä läpi ilman openvpn:ää? (Eli port forward:lla.)

Täytyy kokeilla vielä jossain vaiheessa säätää tuota openvpn palvelinta. Nyt se on liian tiukaksi säädetty.

Ilman openvpn menee pfSensestä läpi sen mitä gigasista verkkokorteista saa irti (port forward 5001 porttiin).

Client: Ikivanha Macbook Pro 2010 läppäri. (karvalla kiinni pfSensen WAN portissa)
Server: Mac mini Late 2014

Spoileri: Kuvat

 

[user9999]

Nyt tuunattu lisää ja saa riittää tämän 2.3.4-RELEASE osalta. Nämä lisätty palvelimen konfikseen.

fast-io
sndbuf 393216;
rcvbuf 393216;

Nopeus parani mukavasti ja huomattavasti tasaisempaa vs. edellisessä testissä.

Spoileri: Testit

1. Mac iperf client ja nuc server:

2. Mac iperf server ja Nuc client:

Keskeneräistä pfSense 2.4 taidan vielä testata jossain vaiheessa. Asennan toiselle levylle. Tuossa uudempi openvpn 2.4.x jossa merkittäviä parannuksia.
2.4 New Features and Changes - PFSenseDocs

 

[user9999]

Ei jäänytkään duunaus vielä tähän 2.3.4-RELEASE osalta. Eli nyt:

Openvpn palvelimessa ja osa clienteissa:
Key: 2048 bit OpenVPN static key
DH Parameter lenght (bits): 2048
Encryption Algorithm: AES-256-CBC (256 bit key, 128 bit block)
Auth digest algorithm: SHA512 (512-bit)

tun-mtu 9000;
fragment 0;
mssfix 0;
fast-io;
sndbuf 100000; (Tämä kopioitu OpenVPN Access Serverin asetuksista)
rcvbuf 100000; (Tämä kopioitu OpenVPN Access Serverin asetuksista)

PfSensen System Tunables kohdassa:
net.inet.ip.fastforwarding = 1

Spoileri: TESTIT

1. Mac iperf client ja nuc server:

2. Mac iperf server ja Nuc client:

En nyt äkkiä keksi enään mitään, millä saisi paremmaksi.

 

[user9999]

PfSense: Important update for OpenVPN

 

[olkitu]

Tääläpä tehty kovia nopeuksia. Itse ajan Pfsenseä virtuaalipalvelimella ja OpenVPN:llä yhdellä corella noin 100Mbps maksimia juuri ja juuri. 1Gbps on linkki molempiin suuntiin mutta taitaapi tarvita jo ihan delikoidun laitteen jos tollaisiin 400Mbps haluaa päästä.

 

[user9999]

Tääläpä tehty kovia nopeuksia. Itse ajan Pfsenseä virtuaalipalvelimella ja OpenVPN:llä yhdellä corella noin 100Mbps maksimia juuri ja juuri. 1Gbps on linkki molempiin suuntiin mutta taitaapi tarvita jo ihan delikoidun laitteen jos tollaisiin 400Mbps haluaa päästä.

Mikä virtuaalisofta sulla käytössä ja millainen host?

Mulla pyörii Openvpn Access Server (Ubuntu Server 16.04) vielä käyttämättömänä Vmware Fusion Professional 8.5.8 päällä. Fusion pyörii macOS Sierra serverin päällä (Mac Mini late 2012, 16GB, i7-3615QM 2.3GHz).
Voisin jossain vaiheessa testata mihin nopeuksiin tuolla pääsee.

 

[olkitu]

Mikä virtuaalisofta sulla käytössä ja millainen host?

Mulla pyörii Openvpn Access Server (Ubuntu Server 16.04) vielä käyttämättömänä Vmware Fusion Professional 8.5.8 päällä. Fusion pyörii macOS Sierra serverin päällä (Mac Mini late 2012, 16GB, i7-3615QM 2.3GHz).
Voisin jossain vaiheessa testata mihin nopeuksiin tuolla pääsee.

Pfsense nyt on käytössä, Proxmox alustana, Dell R610 serverinä sielä alla, 2x Xeonia, 48GB RAM. Vähän pitäisi saada single core performancea, pfsense openvpn ilmeisesti ajaa vaan yhdellä ytimellä joka siis rajoittaa jotenkin tota... Mutta toisaalta minulle riittää 100Mbps linkkikin kun pääasiassa sellaiset yhteydet on.

 

[user9999]

Pfsense nyt on käytössä, Proxmox alustana, Dell R610 serverinä sielä alla, 2x Xeonia, 48GB RAM. Vähän pitäisi saada single core performancea, pfsense openvpn ilmeisesti ajaa vaan yhdellä ytimellä joka siis rajoittaa jotenkin tota... Mutta toisaalta minulle riittää 100Mbps linkkikin kun pääasiassa sellaiset yhteydet on.

Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xx
sarjalaisissa tuli vasta AES-NI tuki.
AES instruction set - Wikipedia
En sitten tiedä, miten virtuaali tuota AES-NI juttua käyttää.

 

[olkitu]

Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xx
sarjalaisissa tuli vasta AES-NI tuki.
AES instruction set - Wikipedia
En sitten tiedä, miten virtuaali tuota AES-NI juttua käyttää.

Katos perhana kun on 2x E5504 niin eipä tukea löydy... Jospa jossain vaiheessa uudempaa rautaakin... Mutta kelpaa toi 100Mbps nyt päivittäisessäkin käytössä.

 

[user9999]

Katos perhana kun on 2x E5504 niin eipä tukea löydy... Jospa jossain vaiheessa uudempaa rautaakin... Mutta kelpaa toi 100Mbps nyt päivittäisessäkin käytössä.

Juu riittää tuo 100Mbps paremmin kuin hyvin eli turhaa alkaa palvelinta sen takia uusimaan PfSense 2.5 vaati sitten jo AES-NI prossut.
pfSense 2.5 and AES-NI

 

[olkitu]

Juu riittää tuo 100Mbps paremmin kuin hyvin eli turhaa alkaa palvelinta sen takia uusimaan PfSense 2.5 vaati sitten jo AES-NI prossut.
pfSense 2.5 and AES-NI

Katsoo sit, kyllä tällä palvelimella vielä pitkään käyttöä

 

[timop]

Millä ohjeella olette asentaneet openvpnn pfsenseen?

 

[user9999]

Millä ohjeella olette asentaneet openvpnn pfsenseen?

 

[olkitu]

Millä ohjeella olette asentaneet openvpnn pfsenseen?

Pfsensessä se on valmiina mutta pitää konfiguroida toki. Täälä aika hyviä lisä vinkkejä mutta perusohjeet löytyy dokumentaatiosta aika hyvin.

 

[user9999]

pfSense 2.3.4-p1 RELEASE Now Available!

 

[jarif]

OPNsense vanhassa Proliant ML110 G6 koneessa (Pentium 4 - single core/hyperthreading).

 

[Sturmgeschütz]

Pfsense tuli laitettua vanhaan Lenovon desktoppiin nyt ensihätään (i5-2400,4Gt,500Gt), pitää katsella jotain vähävirtaisempaa vaihtoehtoa kunhan ehtii. Tilailin siihen lisäksi 2kpl Intelin 2-porttisia verkkokortteja, joten portteja on käytössä nyt yhteensä 5kpl. Aiemmin käytössä ollut RT-AC66U siirtyi hoitamaan pelkkiä wlan-tehtäviä. Ainut erikoisempi konffi on neljä toisistaan eristettyä verkkoa ja jatkossa openvpn. Väittäisin myös nettiä pirteämmäksi kuorman alla kuin tuolla Asuksen reitittimellä. Tuohon vielä kylkeen pari kunnon vlanit ja link aggregationit hanskaavaa kytkintä niin alkaa olla kotiverkkokin kunnossa

 

[user9999]

Pfsense tuli laitettua vanhaan Lenovon desktoppiin nyt ensihätään (i5-2400,4Gt,500Gt), pitää katsella jotain vähävirtaisempaa vaihtoehtoa kunhan ehtii. Tilailin siihen lisäksi 2kpl Intelin 2-porttisia verkkokortteja, joten portteja on käytössä nyt yhteensä 5kpl. Aiemmin käytössä ollut RT-AC66U siirtyi hoitamaan pelkkiä wlan-tehtäviä. Ainut erikoisempi konffi on neljä toisistaan eristettyä verkkoa ja jatkossa openvpn. Väittäisin myös nettiä pirteämmäksi kuorman alla kuin tuolla Asuksen reitittimellä. Tuohon vielä kylkeen pari kunnon vlanit ja link aggregationit hanskaavaa kytkintä niin alkaa olla kotiverkkokin kunnossa

Itsellä pyörii pfSense ihan ok tuon Zotac ZBox IQ01 päällä. Tuossa vain kaksi verkkokorttia (Realtek) niin täytyy jossain vaiheessa rakentaa tuohon pfSense käyttöön kone, jossa enemmän verkkokortteja. Saa dual wanin toimimaan.

Supermicrolla on jotain emoja, missä jopa Quad GbE LAN ports.
Best SuperMicro motherboard at the moment?
No täytyy tutkia.

 

[timop]

ei oikein selviä mitä tuohon tunnel network kohtaan pitäisi laittaa?
jos laitan 10.0.8.0/24 verkon niin yhdistää mutta ei pääse sisäverkkoon, laitoin local network kohtaan tuon 192.168.1.0/24.
jos taas laitan tunnel network kohtaan tuon 192.168.1.1/24 niin ei yhdistä.
verkkoni on siis tuo 192.168.1.0/24 jossa tuo .1 on pfsense.

 

[Asiantuntija]

ei oikein selviä mitä tuohon tunnel network kohtaan pitäisi laittaa?
jos laitan 10.0.8.0/24 verkon niin yhdistää mutta ei pääse sisäverkkoon, laitoin local network kohtaan tuon 192.168.1.0/24.
jos taas laitan tunnel network kohtaan tuon 192.168.1.1/24 niin ei yhdistä.
verkkoni on siis tuo 192.168.1.0/24 jossa tuo .1 on pfsense.

Tunnel networkkiin tuo 10. alkuinen. Mihin laitteeseen yrität yhdistää sisäverkossa? Onko siinä palomuuri?

 

[timop]

Ei ole palomuuria, enigma2 pohjainen digiboksi.
Pivpn skriptillä asensin yhteen virtuaalipalvelimeen kokeeksi ja pääsen kaikkiin sisäverkon laitteisiin sitä kautta.toki nattaus piti tehdä.
Löytykin selitys noille asetuksille OpenVPN Remote Access Server - PFSenseDocs

 

[McPaHa]

Moi!

Löytyisikö tätä kautta jeesiä pfsense + Huawei E3372 ongelmaan kun ei meinaa lähteä tulille. 4G yhteys on ainoa järkevä nopeusvaihtoehto missä asun ja nyt pitäisi saada samalla purnukalla toimimaan sekä pfsense että mokkulan hanskaus.

E3372 FW on 22.286.03.00.17.

Pitäisikö edelleen kuitenkin koittaa laittaa Dovado Pro bridge tilaan ja hoitaa homma sitä kautta? Aikaisemmin kun kokeilin niin aina kun pfsense päivitti dhcp:lla wan-puolen osoitettaan niin yhteys meni jumiin (noin vuosi sitten tuli kokeiltua). Samanmoista ongelmaa on muutama viesti tuolla pfsense-foorumilla.

Toisena vaihtoehtona voisi ehdottaa mahdollisimman halpaa 4G modeemia joka osaisi bridge-tilan jos korvaisin tuon Dovadon (jos siinä edelleen samoja ongelmia pfsensen kanssa).

Täällä Interestin behaving with Dovado Pro vähän kuvattuna ongelmaa pfsense - dovado pro.

 

[user9999]

Moi!

Löytyisikö tätä kautta jeesiä pfsense + Huawei E3372 ongelmaan kun ei meinaa lähteä tulille. 4G yhteys on ainoa järkevä nopeusvaihtoehto missä asun ja nyt pitäisi saada samalla purnukalla toimimaan sekä pfsense että mokkulan hanskaus.

E3372 FW on 22.286.03.00.17.

Pitäisikö edelleen kuitenkin koittaa laittaa Dovado Pro bridge tilaan ja hoitaa homma sitä kautta? Aikaisemmin kun kokeilin niin aina kun pfsense päivitti dhcp:lla wan-puolen osoitettaan niin yhteys meni jumiin (noin vuosi sitten tuli kokeiltua). Samanmoista ongelmaa on muutama viesti tuolla pfsense-foorumilla.

Toisena vaihtoehtona voisi ehdottaa mahdollisimman halpaa 4G modeemia joka osaisi bridge-tilan jos korvaisin tuon Dovadon (jos siinä edelleen samoja ongelmia pfsensen kanssa).

Täällä Interestin behaving with Dovado Pro vähän kuvattuna ongelmaa pfsense - dovado pro.

Tuolla Dovado Pro, Huawei E3372 ja pfSense yhdistelmällä on ollut jotain ongelmaa.
https://murobbs.muropaketti.com/posts/1714959137/

 

[dataaja95]

Terve
Rakentelen tässä pfSenseen kaksivaiheista autentikointia käyttäen MOTP:tä. Kyseessä siis tämä
Mobile One-time Passwords with FreeRADIUS - PFSenseDocs
Olen varmistanut että puhelimen joka luo kertakäyttöisen salasanan offset time sekä freeradius palvelimen offsettime ovat samat. Eli nolla. Security key on pfSenseen näpytelty se minkä mobiililaite luo. Kuitenkin kun yritän kirjautua openvpn käyttäen puhelimella luotua koodia saan logiin viestin
Jul 30 17:44:36
radiusd
55619
(1) Login incorrect (Failed retrieving values required to evaluate condition): [labra/260620] (from client vpn port 1195)
Jul 30 17:45:36
root

FreeRADIUS: Authentication failed! Mobile-One-Time-Password incorrect. 1 attempts left.
Jul 30 17:45:36
radiusd
55619
(2) Login incorrect (Failed retrieving values required to evaluate condition): [labra/76a936] (from client vpn port 1195)
Itseltäni alkavat ideat loppua mikä tässä voisi olla vikana. Normaalisti salasanalla ja käyttäjätunnuksella openvpn autentikointi toimii oikein hyvin ja kivuttomasti. Mistä lähteä ratkaisemaan ongelmaa. Freeradiuksen versio jota käytän on freeradius3-3.0.15. Olen kokeillut myös google authentikatoria kun sellainen vaihtoehto on myös pfSensessä nykyään sama ongelma. Pinkoodi pfSense mielestä väärä.

 

[user9999]

Terve
Rakentelen tässä pfSenseen kaksivaiheista autentikointia käyttäen MOTP:tä. Kyseessä siis tämä
Mobile One-time Passwords with FreeRADIUS - PFSenseDocs
Olen varmistanut että puhelimen joka luo kertakäyttöisen salasanan offset time sekä freeradius palvelimen offsettime ovat samat. Eli nolla. Security key on pfSenseen näpytelty se minkä mobiililaite luo. Kuitenkin kun yritän kirjautua openvpn käyttäen puhelimella luotua koodia saan logiin viestin
Jul 30 17:44:36
radiusd
55619
(1) Login incorrect (Failed retrieving values required to evaluate condition): [labra/260620] (from client vpn port 1195)
Jul 30 17:45:36
root

FreeRADIUS: Authentication failed! Mobile-One-Time-Password incorrect. 1 attempts left.
Jul 30 17:45:36
radiusd
55619
(2) Login incorrect (Failed retrieving values required to evaluate condition): [labra/76a936] (from client vpn port 1195)
Itseltäni alkavat ideat loppua mikä tässä voisi olla vikana. Normaalisti salasanalla ja käyttäjätunnuksella openvpn autentikointi toimii oikein hyvin ja kivuttomasti. Mistä lähteä ratkaisemaan ongelmaa. Freeradiuksen versio jota käytän on freeradius3-3.0.15. Olen kokeillut myös google authentikatoria kun sellainen vaihtoehto on myös pfSensessä nykyään sama ongelma. Pinkoodi pfSense mielestä väärä.

Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools

 

[dataaja95]

Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools

Joo voisi tuon ntp*:n asentaa pfSenseen ja katsoa auttaako. Mielenkiintoiseksi menee

 

[dataaja95]

Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:

NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools

Katselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.

 

[Asiantuntija]

Katselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.

Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.org

 

[dataaja95]

Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.org

Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.

 

[user9999]

Tuo ajan voi katsoa pfSensessä command promptissa eli date käsky. Näyttää vain sen hetkisen ajan, mutta sitä voi verrata samaan aikaan laitteeseen (puhelin), missä esim. Google Authenticator softa.

Itsellä oli joskus puhelimen kello väärässä ajassa vs. palvelin (Openvpn Access Server) Muistelen, että oli reilu 10s edellä tai jäljessä niin tuli noita kirjautumisvirheitä välillä. En tiedä mistä iPhone aikaa hakee. Hakiskohan operaattorilta (en tiedä), mutta ongelma korjaantui samana päivänä.

 

[user9999]

Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.

En lupaa, mutta voin tuota testata jossain vaiheessa. Tilasin just tänään uutta pfSense rautaa ja osat saapuu varmaan ensiviikon alussa. Tuo kun pystyssä niin voin kokeilla tuolla vanhalla zotac koneella, jossa pfsense.

 

[dataaja95]

Tuo ajan voi katsoa pfSensessä command promptissa eli date käsky. Näyttää vain sen hetkisen ajan, mutta sitä voi verrata samaan aikaan laitteeseen (puhelin), missä esim. Google Authenticator softa.

Itsellä oli joskus puhelimen kello väärässä ajassa vs. palvelin (Openvpn Access Server) Muistelen, että oli reilu 10s edellä tai jäljessä niin tuli noita kirjautumisvirheitä välillä. En tiedä mistä iPhone aikaa hakee. Hakiskohan operaattorilta (en tiedä), mutta ongelma korjaantui samana päivänä.

Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.

 

[Asiantuntija]

Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.

Siinä näkyy aikavyöhyke ennen vuosilukua, onko se EEST?

e: Tällä hetkellä mulla on käytössä Snort, josta saanut karsittua false-positivet pois, pitäisikö vaihtaa Suricataan? Mitä etua Suricatassa on verrattuna Snorttiin?

 

[dataaja95]

Siinä näkyy aikavyöhyke ennen vuosilukua, onko se EEST?

Ei ole vaan GMT. Miten tuon voisi muuttaa. Puhelimen asetuksissa kaikki näkyy oikein.

 

[Asiantuntija]

Ei ole vaan GMT. Miten tuon voisi muuttaa. Puhelimen asetuksissa kaikki näkyy oikein.

Testaa ottaa automaattinen aikavyöhyke pois ja koita asettaa se manuaalisesti GMT+3. Jos ei toimi niin testaa ottaa hetkeksi automaattinen päivä ja aika pois päältä. Jos ei toimi niin käynnistä puhelin uudelleen.