Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Mitenkäs saisi estettyä pfsense tai pfblockerng avulla VPN (F-Secure jne) yms. muut salatut yhteydet joilla yritetään ohittaa pfsensen ja pfblockerng avulla tehtyä suoajus?

IPSEC-vpn:n saa estämällä UDP/500 sekä protokollat 50 ja 51. SSL-vpn:n saattaa saada estämällä TCP/443.
 
Taas yksi esimerkki miksi pfSensen kehitysmenetelmä on vain niin rautainen:

 
Minkälaisen raudan tää pfSense vaatii 100/50 kuidulle, jotta nopeukset pysyisi mahdollisimman korkeina?
 
Minkälaisen raudan tää pfSense vaatii 100/50 kuidulle, jotta nopeukset pysyisi mahdollisimman korkeina?
Ei mitään ihmeellistä. Itsellä vastaava yhteys kotona, FTH, ja kuitumuuntimesta seuraava on
APU2D0: 2x Gigabit LAN, Quad Core CPU, 16GB SSD, 2GB RAM
Toimii täydellä nopeudella, tämä on ihan testattukin:
APU2C0 pfSense network throughput test

Fitlet2, Shuttle, muitakin on monia, mitkä eivät syö juuri mitään sähköä ja ovat passiivisella jäähdytyksellä. Ja kaikki toimivat tuommoisella yhteydellä niin nopeasti kuin yhteys periksi antaa.
 
On pidemmän aikaan ollut rautapalomuuri / reititin mietintämyssyn alla. Asia nousi taas ajankohtaiseksi kun pitäisi panostaa hiukan kotiautomaatioon ja uusia nykyistä verkkoa. pfSenseä tuntuu sopivalta vaihtoehdolta itselle mutta pitäisi löytää joku sopiva rauta kohtuu hinnalla, jossa 4 ethernet porttia. Ilmeisesti WIFI verkkoa ei kannata yrittää tuommoiseen enää tunkata vaan parempi olisi hoitaa asia erillisellä AP:lla?

Kahlasin ketjun läpi ja varteenotettavimmat vaihtoehdot tuntuisivat olevan pcenginesin apu2/apu4, fitlet2 tai joku mini-itx PC. Jäikö joku pois? Koska joudun laittamaan tuon TV tasolle/hyllylle jossa ennestään tuhottomasti laitteita niin sen koko saisi mielellään olla aika kompakti.
fitlet2 vaikuttaisi muuten olevan aika täydellinen mutta noin nopeasti kun vertailin fit-iot resellers sivua niin europaan hinnat on melkein tuplat jenkkilään verrattuna kun lisää alv+toimituskulut. Tek-lagerilta tuntuisi taas saavan apu pohjaisia laitteita kohtuu hintaan joskin koko hiukan isompi. Niissä ei myöskään taida olla näyttö porttia vaan kaikki hoituu konsolin kautta mutta onko tuosta juurikaan haittaa?

Onko tuossa fitlet2:ssa muuta minkä vuoksi siitä kannttaisi maksaa enemmän?
 
Katsoitko Shuttlen mallit läpi? Esim. Shuttle Barebone Slim DS77U, musta - 299,00€ on tainnut tässäkin ketjussa olla. Sama prossu kuin fitletissä ja pari Intelin verkkoporttia.
Fitlet2 taitaa olla hiukan pienempi vielä ja siihen saa kätevästi facet-kortilla pari verkkokorttia kiinni lisää, mutta ei siinä mitään ihmeellistä ole, erikoistuotteena siinä on hintaakin sitten enemmän.
 
Katsoitko Shuttlen mallit läpi? Esim. Shuttle Barebone Slim DS77U, musta - 299,00€ on tainnut tässäkin ketjussa olla. Sama prossu kuin fitletissä ja pari Intelin verkkoporttia.
Fitlet2 taitaa olla hiukan pienempi vielä ja siihen saa kätevästi facet-kortilla pari verkkokorttia kiinni lisää, mutta ei siinä mitään ihmeellistä ole, erikoistuotteena siinä on hintaakin sitten enemmän.
Näin kyllä että se oli mainittuna muutamaan kertaan mutta taisin sivuttaa sen aiemmin sillä ajatuksella että se ei tule juurikaan halvemmaksi kuin fitlet2 kun siihen on ostanut muistit ja kovalevyn. Toki nyt kun katsoin myös hinta.fi:tä niin saahan sen jo yli 50€ halvemmalla muualta kuin Jimmsistä. Laajennettavuuden osalta varmaan parempi vaihtoehto joten sen varmaan saa taipumaan vähän muuhunkin. Pitää hiukan ihmetellä tuota lisää.
 
Onko kukaan törmännyt ongelmaan pfsensen dns toiminnassa koskien microsoftin osoitteita?

Huomasin tänään, että en pääse microsoftin sivuille lainkaan, unbound:n uudelleen käynnistys ratkaisi ongelman tunniksi, mutta ongelma toistuu.

Kaikki muut sivut toimivat normaalisti, mutta mikään microsoftiin liittyvä ei avaudu ja windowsin komentoriviltä ajettuna nslookup ei löydä mitään microsoftiin liittyvää.

esim. *** pfSense*** can't find www.microsoft.com: Server failed

sekä

xboxlive.com
Server: pfSense****
Address: 192.***.***

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to pfSense*** timed-out

Koskee myös muita laitteita jotka menevät nettiin pfsensen kautta, kännykät ja linux läppäri.

Kaikki muut sivut toimivat oikein ja kaikki muut osoitteet mitä nslookup:n syöttää antavat vastauksen ihan oikein.

Onko ajatuksia, vinkejä?
 
Onko kukaan törmännyt ongelmaan pfsensen dns toiminnassa koskien microsoftin osoitteita?
Microsoftiin liittymätön sivuhuomautus Unboundista ja tästä optiosta, jota ei missään tapauksessa kannata käyttää, sillä aiheuttaa Unboundin tiuhaa kaatumista:
Koodi:
DHCP Registration   [_] Register DHCP leases in the DNS Resolver
Tässä jokunen päivä sitten pfSense 2.4.4p3:ssa hajosi DNS totaalisesti, ja sen näytti aiheuttavan Snort, joka on päivittynyt tiuhaan viime aikoina. Laitoin muistutuksen, että älä likaa käsiäsi tähän vähään aikaan.

PS. Käytä Diagnostics - DNS Lookup -toimintoa testaukseen ja katso onko logeissa Status/System Logs/System/DNS Resolver mitään erikoista. Tämä tietysti sillä varauksella, että ylipäätään käytät Unboundia (DNS Resolver)
 
Microsoftiin liittymätön sivuhuomautus Unboundista ja tästä optiosta, jota ei missään tapauksessa kannata käyttää, sillä aiheuttaa Unboundin tiuhaa kaatumista:
Koodi:
DHCP Registration   [_] Register DHCP leases in the DNS Resolver
Tässä jokunen päivä sitten pfSense 2.4.4p3:ssa hajosi DNS totaalisesti, ja sen näytti aiheuttavan Snort, joka on päivittynyt tiuhaan viime aikoina. Laitoin muistutuksen, että älä likaa käsiäsi tähän vähään aikaan.

PS. Käytä Diagnostics - DNS Lookup -toimintoa testaukseen ja katso onko logeissa Status/System Logs/System/DNS Resolver mitään erikoista. Tämä tietysti sillä varauksella, että ylipäätään käytät Unboundia (DNS Resolver)


Muistaakseni tuo mainitsemasi valinta on oletuksena pois, enkä ole tehnyt mitään muutoksia niihin.

En ainakaan huomannut mitään ihmeellistä tuolla loki tiedoissa, kun eilen katselin.

Testaan tuota dns-lookup:a, kun olen taas koneella.

Tuosta snortin aiheuttamasta sekoilusta tuli mieleen, että ntopng on asennettuna, poistan kokeeksi senkin.

Tuo oire on vaan niin kummallisen rajoittunut, kun vaikuttaa vain microsoftin sivustoihin niin voi olla jokin estetty ip, mutta palomuurin lokissa ei kuitenkaan näy mitään.
 
Current Base System 2.4.4_3
Latest Base System 2.4.5.r.20200130.1230
---
2.4.5-RC (amd64)
built on Thu Jan 30 12:22:28 EST 2020
FreeBSD 11.3-STABLE

The system is on the latest version.
Version information updated at Fri Jan 31 19:41:30 EET 2020
---
Saas nähdä toimiiko kaikki EDIT: Mitään ongelmaa ei ole vielä paljastunut.

Nämä valinnaiset paketit on asennettuna enkä niitä poistanut päivityksen vuoksi:
pfBlockerNG-devel 2.2.5_28
RRD_Summary 2.0
Service_Watchdog 1.8.6
openvpn-client-export 1.4.19_2
iperf 3.0.2_2
nmap 1.4.4_1
Notes 0.2.9_2

Neljä pakettia uudelleenasennettiin päivityksen yhteydessä, pfBlockerNG yksi niistä
 
Viimeksi muokattu:
Palautin joulukuussa luodun varmuuskopion ja nyt näyttäisi unbound toimivan oikein ja microsoftin sivutkin toimivat.

En ole vielä keksinyt, että mikä ongelman aiheutti, millään asetuksella en saanut toimimaan. Mikäli ongelma toistuu niin perehdyn tarkemmin.
 
Jooei, tämä on riskiä bisnestä. Toisaalta ellei riittävästi ole testaajia, niin rellua ei tule koskaan ulos. Ja jos testaus on vain leikkisetupeissa, niin ei oikean maailman ongelmat tule esiin.

Tuo boottiongelma puuttuvan ramdisk-skriptin takia on kyllä niin alkeellinen juttu, että ei taida olla minkäänlaista automaattitestausta edes käytössä pfSensen devauksessa.
 
Jooei, tämä on riskiä bisnestä. Toisaalta ellei riittävästi ole testaajia, niin rellua ei tule koskaan ulos. Ja jos testaus on vain leikkisetupeissa, niin ei oikean maailman ongelmat tule esiin.

Tuo boottiongelma puuttuvan ramdisk-skriptin takia on kyllä niin alkeellinen juttu, että ei taida olla minkäänlaista automaattitestausta edes käytössä pfSensen devauksessa.

Luultavasti kehittäjät ei käytä sitä.

 
Kertokaapa tietävät miten editoin näitä kun windows koneella nettiselaimen kautta käytän. Vai onko lyötävä pfsense telkkariin ja suoraan sillä muokattava.
Tavoitteena olisi pelikone ohittaa pfBlockerNg:sta, on nyt erillisiessä Lan portissa eli ehkä vlanilla onnistuu.
Pienintä lagia haen.

edit: ilmeisesti Diagnostic-> Edit file onnistuu
/var/unbound/unbound.conf
 
Viimeksi muokattu:
Varsinaiseen Unboundin konffaukseen en ota kantaa, mutta täältä sitä voi tehdä ihan hallitusti normi-web-UI:n kautta:
Services/DNS Resolver/General Settings
Display Custom Options: nappi Display Custom Options
Custom options: text box
 
Varsinaiseen Unboundin konffaukseen en ota kantaa, mutta täältä sitä voi tehdä ihan hallitusti normi-web-UI:n kautta:
Services/DNS Resolver/General Settings
Display Custom Options: nappi Display Custom Options
Custom options: text box

Kiitti.
edit. kokeilen miten toimii

server:
access-control-view: 192.168.1.0/24 dnsbl
access-control-view: 192.168.2.0/24 dnsbl
access-control-view: 192.168.3.100/32 bypass

view:
name: "bypass"
view-first: yes

view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*conf
 
Viimeksi muokattu:
En ota edelleenkään kantaa, mutta 192.168.3.100/24 tarkoittaa samaa kuin 192.168.3.0/24. Jos haluat spesata vain yhden osoitteen 192.168.3.100, niin 192.168.3.100/32 lienee oikeampi, muuten tuo koskee koko verkkoa 192.168.3.0 eli jokaista osoitetta välillä 192.168.3.1...254
 
pfSense 2.4.5-RC Thu Feb 13 17:39 EST 2020
Avoid at all cost - don't update!
Älä päivitä tätä jos reititysominaisuus on sinulle tärkeä. Saman päivän edellinen buildi oli ok, tässä jotain 7 päivityspakettia, mm. ngingx.
Bogonsv6-tablesta runsaasti varoituksia, ehkä jos ei olisi myös IPv6 käytössä tai ainakin bogons-suodatus poistettu käytöstä, saattaisi vähän toimiakin, puhdas arvaus.

EDIT: Toinen bootti saattaa korjata tilanteen
 
Viimeksi muokattu:
pfSense 2.4.5-RC Thu Feb 13 17:39 EST 2020
Avoid at all cost - don't update!
Älä päivitä tätä jos reititysominaisuus on sinulle tärkeä. Saman päivän edellinen buildi oli ok, tässä jotain 7 päivityspakettia, mm. ngingx.
Bogonsv6-tablesta runsaasti varoituksia, ehkä jos ei olisi myös IPv6 käytössä tai ainakin bogons-suodatus poistettu käytöstä, saattaisi vähän toimiakin, puhdas arvaus.

EDIT: Toinen bootti saattaa korjata tilanteen

Itse katsoin aiemmin että päivitän seuraavan kerran vasta kun tämä on ollu ratkaistuna pari päivää.
Tuntuu sen verran sotkulta että antaa rauhassa korjailla asiat.
 

Mielenkiintoiselta näyttää tuo pkg audit -F käsky. Käytössä 2.4.4-RELEASE-p3 :(

Fetching vuln.xml.bz2: .......... done
expat-2.2.5 is vulnerable:
expat2 -- Fix extraction of namespace prefixes from XML names
WWW: VuXML: expat2 -- Fix extraction of namespace prefixes from XML names

expat-2.2.5 is vulnerable:
expat2 -- Fix extraction of namespace prefixes from XML names
WWW: VuXML: expat2 -- Fix extraction of namespace prefixes from XML names

curl-7.64.0 is vulnerable:
curl -- multiple vulnerabilities
CVE: CVE-2019-5436
CVE: CVE-2019-5435
WWW: VuXML: curl -- multiple vulnerabilities

curl-7.64.0 is vulnerable:
curl -- multiple vulnerabilities
CVE: CVE-2019-5482
CVE: CVE-2019-5481
WWW: VuXML: curl -- multiple vulnerabilities

php72-7.2.10 is vulnerable:
php -- env_path_info underflow in fpm_main.c can lead to RCE
CVE: CVE-2019-11043
WWW: VuXML: php -- env_path_info underflow in fpm_main.c can lead to RCE

libnghttp2-1.32.0 is vulnerable:
nghttp2 -- multiple vulnerabilities
CVE: CVE-2019-9513
CVE: CVE-2019-9511
WWW: VuXML: nghttp2 -- multiple vulnerabilities

unbound-1.9.1 is vulnerable:
unbound -- parsing vulnerability
CVE: CVE-2019-16866
WWW: VuXML: unbound -- parsing vulnerability

unbound-1.9.1 is vulnerable:
unbound -- parsing vulnerability
CVE: CVE-2019-18934
WWW: VuXML: unbound -- parsing vulnerability

nginx-1.14.1,2 is vulnerable:
NGINX -- HTTP request smuggling
CVE: CVE-2019-20372
WWW: VuXML: NGINX -- HTTP request smuggling

nginx-1.14.1,2 is vulnerable:
NGINX -- Multiple vulnerabilities
CVE: CVE-2019-9516
CVE: CVE-2019-9513
CVE: CVE-2019-9511
WWW: VuXML: NGINX -- Multiple vulnerabilities

pkg-1.10.5_6 is vulnerable:
pkg -- vulnerability in libfetch
CVE: CVE-2020-7450
WWW: VuXML: pkg -- vulnerability in libfetch

libidn2-2.0.5 is vulnerable:
libidn2 -- roundtrip check vulnerability
CVE: CVE-2019-12290
WWW: VuXML: libidn2 -- roundtrip check vulnerability

oniguruma-6.8.1 is vulnerable:
oniguruma -- multiple vulnerabilities
CVE: CVE-2019-13225
CVE: CVE-2019-13224
WWW: VuXML: oniguruma -- multiple vulnerabilities

9 problem(s) in the installed packages found.
 
Koodi:
[2.4.5-RC][admin@pfsense]/root: pkg audit -F
Fetching vuln.xml.bz2: 100%  832 KiB 426.1kB/s    00:02    
putty-nogtk-0.70 is vulnerable:
PuTTY 0.72 -- buffer overflow in SSH-1 and integer overflow in SSH client
WWW: https://vuxml.FreeBSD.org/freebsd/5914705c-ab03-11e9-a4f9-080027ac955c.html

putty-nogtk-0.70 is vulnerable:
PuTTY -- security fixes in new release
WWW: https://vuxml.FreeBSD.org/freebsd/46e1ece5-48bd-11e9-9c40-080027ac955c.html

2 problem(s) in 1 installed package(s) found.
 
pfSense:ssä näyttää olevan putty-nogtk:sta käytössä vain puttygen avaimien generointia varten, joten nuo haavoittuvuudet eivät varsinaisesti koske sitä?
EDIT: Mikään muu paketti ei näyttänyt kaipaavan tuota, joten poistin kylmästi. Katsotaan tulisiko seuraavassa 2.4.5-RC:ssä takaisin.
 
Viimeksi muokattu:
Mikäs on tällä hetkellä filet2 tilanne, onko sitä saatavilla mistään suhteellisen edullisesti? Amazon.de löytyisi se perusversio ~200e, mutta sitten mistään ei löydy erikseen lisäverkkokorttia. Israelista tilattaessa tulisi noin 100e lisää pelkästään posteista + alveista ja Tanskasta tilatessa puolestaan hinta on tuplat Israeliin. Tarve olisi 4 gigasella ethernet portilla, 8gb muistilla ja nykyaikaisella prosulla. Vanha fanless mini-PC rupeaa jäämään jalkoihin J9000 prossulla ja 4gb muistilla, tosin prosessori jaksaa edelleen hyvin, mutta nykyaikaiseen olisi tarve päivittää jossain vaiheessa.

Toki Fitlet2 vastaavia voisi myös ehdottaa, samaa hintaluokkaa siis.
 
Mikäs on tällä hetkellä filet2 tilanne, onko sitä saatavilla mistään suhteellisen edullisesti? Amazon.de löytyisi se perusversio ~200e, mutta sitten mistään ei löydy erikseen lisäverkkokorttia. Israelista tilattaessa tulisi noin 100e lisää pelkästään posteista + alveista ja Tanskasta tilatessa puolestaan hinta on tuplat Israeliin. Tarve olisi 4 gigasella ethernet portilla, 8gb muistilla ja nykyaikaisella prosulla. Vanha fanless mini-PC rupeaa jäämään jalkoihin J9000 prossulla ja 4gb muistilla, tosin prosessori jaksaa edelleen hyvin, mutta nykyaikaiseen olisi tarve päivittää jossain vaiheessa.

Toki Fitlet2 vastaavia voisi myös ehdottaa, samaa hintaluokkaa siis.
Oletko Teklagerin tarjontaan tutustunut?
Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.
 
Oletko Teklagerin tarjontaan tutustunut?
Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.
Vähän hintava tuokin, kun samaan hintaan saa jo sen fitlet2:den. 8gb on toki vähän overkill, mutta 4gb meinaa jäädä vähän vähälle ajoittain, kun Suricata blokkaamassa useammassa interfacessa, tai tarkemmin yhdessä blokkaa ja kahdessa hälytys-moodissa. 4gb riittää 99% ajasta, mutta muutaman kerran kaatunut pfsense muistin takia, kun Suricata pyörimässä ja samalla konffailee esimerkiksi pfblockerng juttuja.
 
Vähän hintava tuokin, kun samaan hintaan saa jo sen fitlet2:den. 8gb on toki vähän overkill, mutta 4gb meinaa jäädä vähän vähälle ajoittain, kun Suricata blokkaamassa useammassa interfacessa, tai tarkemmin yhdessä blokkaa ja kahdessa hälytys-moodissa. 4gb riittää 99% ajasta, mutta muutaman kerran kaatunut pfsense muistin takia, kun Suricata pyörimässä ja samalla konffailee esimerkiksi pfblockerng juttuja.

Itse tilasin tuolta viime kesänä. Joutuu kyllä lähettämään sähköpostia ja kysymään. Lähetä sposti, että minkälaisilla osilla haluat fitletin. Mulle vastasi ainakin nopeasti.
 
Olikos kenelläkään käytössä tuo IKEv2 VPN pfSensessä? Onko toiminut vakaasti?
Ajattelin, jos kokeilisi sitä tuon OpenVPN tilalle. Olisi muutamia etuja Applen laitteisiin eli ei tarvitsisi mitään client ohjelmistoa, koska tuo IKEv2 löytyy suoraan macOS, iOS ja IPadOS käyttiksistä.
Sitten mulla on ollut aikoinaan OpenVPN Access Serverissä käytössä VPN On-Demand niin senkin voisi virittää tuohon IKEv2 yhteyteen.

pfSense IKEv2 for iOS/macOS

On Demand VPN

Can I use iOS 6+ VPN-On-Demand with OpenVPN?
 
Viimeksi muokattu:
Asensin tuon IKEv2 VPN pfSenseen. Näyttäisi toimivan eli tein EAP-TLS ratkaisun. Laitoin VoD:n kanssa toimimaan.

VPN yhteys menee poikki kun laite saa DNS palvelimeksi kotiverkon palvelimen (pfSense) ja liittyy kotiverkon WLANiin.
DNSServerAddressMatch: DNS palvelimen ip (pfSense)
SSIDMatch: langattoman verkon SSID

Muussa tapauksessa VPN yhteys nousee automaattisesti. Toimii iOS, macOS ja iPadOS käyttöjärjestelmissä.

Untitled3.png

Untitled 2.png

Tuon voi ottaa pois käytöstä noista Connect on demand (Yhdistä tarvittaessa) valinnoista. Kännykästä kun pistää WLAN:n pois niin VPN yhteys menee välittömästi päälle.
Täytyy vielä miettiä, minkälaista VoDia sitä tarvitsee eli tuo on yksinkertainen viritys.
 
Oletko Teklagerin tarjontaan tutustunut?
Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.
Itse en tajua miksi kaikki pitää hommata kerralla, itse laitan riisutun version ja vaikka vanhan läppärin muistin ja edullisen ssd:n lyön laitteeseen.
Itsellä j1900 ja siinä 8Gb 256GB SSD. Miksi pitäisi etsiä jokin minimi määrä kun hinta ei edes muutu kuin muutaman kympin asetta suuremmilla kamppeilla.
Toki oma tilanne on varmaan erilainen kun omasta hyllystä löytyy erilaisia kamppeita heti.
Puhtaasti surkeiden virtalähteiden sijaan kokeeksi tilasin tuollasen, saa nähdä mitä laatu on. Mutta nuo mukana tulevat 5A antaa monesti todellisuudessa 2.5A ja ylivirtasuojaus suuressa osassa puuttuu. Osassa toimii jokin suojaus. On itsellä ollu vakaa mukanankin tulleet, mutta kun pari virtalähdettä avannu on mieli alkanu muuttua.
tuokin varmaan olisi ok jos laite on mitä luvataan.

Asensin tuon IKEv2 VPN pfSenseen. Näyttäisi toimivan eli tein EAP-TLS ratkaisun. Laitoin VoD:n kanssa toimimaan.

VPN yhteys menee poikki kun laite saa DNS palvelimeksi kotiverkon palvelimen (pfSense) ja liittyy kotiverkon WLANiin.
DNSServerAddressMatch: DNS palvelimen ip (pfSense)
SSIDMatch: langattoman verkon SSID

Muussa tapauksessa VPN yhteys nousee automaattisesti. Toimii iOS, macOS ja iPadOS käyttöjärjestelmissä.

Miten tuo toimii jos useampi laite yhteydessä, toinen yrittää VPN ja toinen ei?
 
Viimeksi muokattu:
Miten tuo toimii jos useampi laite yhteydessä, toinen yrittää VPN ja toinen ei?
Tuohan on clientin oma päätös käyttääkö se VPN:ää (esim. kotiverkon ulkopuolella) ja droppaa sen tarpeettomana sen kotiverkossa. VPN serveri ei tähän osallistu, eikä muilla clienteilla ole vaikutusta.
 
Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n :D
Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.
 
Kun on kaikkea Krackia ja Kr00kia liikenteessä, niin eipä se VPN:n käyttö kotiverkossakaan ole haitaksi. Taisi joku asiantuntija (Schneier?) suositella jopa kotiverkon pitämistä avoimena, jotta on suojaukset käytössä koko ajan.

Ainoastaan pari seikkaa voi houkuttaa tinkimään oman VPN:n jatkuvasta käytöstä: perffi laskee (downlink on enintään kotiverkon uplink), latenssi ja virrankulutus nousee.
 
Kun on kaikkea Krackia ja Kr00kia liikenteessä, niin eipä se VPN:n käyttö kotiverkossakaan ole haitaksi. Taisi joku asiantuntija (Schneier?) suositella jopa kotiverkon pitämistä avoimena, jotta on suojaukset käytössä koko ajan.

Ainoastaan pari seikkaa voi houkuttaa tinkimään oman VPN:n jatkuvasta käytöstä: perffi laskee (downlink on enintään kotiverkon uplink), latenssi ja virrankulutus nousee.
Akkua tuo syö, muttei paljon. Akku oli täysi niin tunnin kuunnellu Apple Music niin 89% jäljellä. En muista miten OpenVPN syö akkua.

Untitled.png
 
Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n :D
Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.
Tuo IP ongelma on nyt korjattu. Jokaisella laitteella on oma user sertifikaatti ja oma profiili :)

Untitled 2.png
 
Open VPN:llä toimii yhden käyttäjän takaa useampi laite (sama ip). Olisihan tuo tietty kiva, että jokainen laite saisi oman ip osoitteen riippumatta käyttäjästä, muttta ei viitsi ja jaksa tehdä useampaa profiilia.
 
Tuo IKEv2 VPN on jonkin verran nopeampi gigasella yhteydellä kuin Openvpn. Pfsense koneena Shuttle XPC slim DS77U, joka hoitaa gigasen netin leikiten.

OpenVPN: Testattu 2018 kesällä
leqlM5c.jpg

IKEv2 VPN:
Screenshot 2020-03-08 at 12.01.49.png
 
Tuo IKEv2 VPN on jonkin verran nopeampi gigasella yhteydellä kuin Openvpn. Pfsense koneena Shuttle XPC slim DS77U, joka hoitaa gigasen netin leikiten.
Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.
 
Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.
Joo openvpn vaatii kustomointia, että sen saa kulkemaan. Katoin niin mulla ei ole nyt tuossa mitään Custom Options kohdassa kun tuo pfsense meni aikoinaan sekaisin niin unohtunut laitaa nuo viritykset.
Muistaakseni olen dokumentoinut nuo.
 
Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.
Tässä jotain arvoja. Tuossa ollut Intel i7-7700T kokoonpano niin vähän nopeampi kuin Shuttle

Shuttle testi:
 

Statistiikka

Viestiketjuista
259 109
Viestejä
4 502 255
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom