Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Osaako joku sanoa mikä tämä osoite on, kun tuntuu että moni laite haluaa ottaa tuohon yhteyttä? Onko minulla kenties joku troijjalais ongelma.
PfblockerNg siis blokkaa... 212.16.104.33:123 tor.effi.org
 
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:
$ ntpdate -q tor.effi.org
server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202
18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
 
Kuinkas paljon Fitletin tullit ovat?

Tulli 0%, koska tietokone, mutta alvihan piti maksaa aina.

PS. Mulla korkkaamattomat fitlettiin sopiva 8Gb muisti ja 64Gb SSD, jos tarvetta.
Transcend 64GB SATA III 6Gb/s MTS400 42 mm M.2 SSD Solid State Drive (TS64GMTS400S)
Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM - CT8G3S186DM
 
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:
$ ntpdate -q tor.effi.org
server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202
18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr... :)
En haluaisi aloittaa nollista. Pääsisiko ssh:n tmjs kautta jotain tiedostoa editoimaan manuaalisesti ?
 
Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr... :)
En haluaisi aloittaa nollista. Pääsisiko ssh:n tmjs kautta jotain tiedostoa editoimaan manuaalisesti ?
Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.
Tuosta ja lukuisista muista Tor-exit -nodeista saapuva liikenne on sinänsä syytä estää, ellei nimenomaisesti pyöritä jotain web-palvelua, koska tämän blokkaus aiheuttaa myös sen, että Tor-käyttäjät eivät tähän palveluun pääse. Nehän voi olla vaikka kiinalaisia lääkäreitä, jotka yrittävät kertoa, mitä siellä oikeasti tapahtuu.

Outgoing-liikenteen esto kyseiseen osoitteeseen on täysin turhaa, kuten jo sanoinkin.

Tällaisiin estolistoihin voi järkevästi vaikuttaa vain kahdella tavalla. Helpompi tapa on, jos blokkerissa on mahdollisuus tehdä omia whitelistoja, tai tehdä muita valintoja, esim. Tor exit-nodejen suhteen. Epävarmempi tapa on yrittää saada listoja muokatuksi, sikäli kun siellä on jotain virheitä. Huonoin vaihtoehto on tehdä omiin kopioihin muutoksia, joiden ylläpito voi käydä hankalaksi, jos se esim. vaikeuttaa listojen automaattista päivitystä tai suorastaan estää sen.
 
Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.
Tuosta ja lukuisista muista Tor-exit -nodeista saapuva liikenne on sinänsä syytä estää, ellei nimenomaisesti pyöritä jotain web-palvelua, koska tämän blokkaus aiheuttaa myös sen, että Tor-käyttäjät eivät tähän palveluun pääse. Nehän voi olla vaikka kiinalaisia lääkäreitä, jotka yrittävät kertoa, mitä siellä oikeasti tapahtuu.

Outgoing-liikenteen esto kyseiseen osoitteeseen on täysin turhaa, kuten jo sanoinkin.

Tällaisiin estolistoihin voi järkevästi vaikuttaa vain kahdella tavalla. Helpompi tapa on, jos blokkerissa on mahdollisuus tehdä omia whitelistoja, tai tehdä muita valintoja, esim. Tor exit-nodejen suhteen. Epävarmempi tapa on yrittää saada listoja muokatuksi, sikäli kun siellä on jotain virheitä. Huonoin vaihtoehto on tehdä omiin kopioihin muutoksia, joiden ylläpito voi käydä hankalaksi, jos se esim. vaikeuttaa listojen automaattista päivitystä tai suorastaan estää sen.
Juu tuon ip:n blokkaa Talos lista.
Itsellä on konffattu tuo @escalibur ohjeen mukaan.

- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
 
Spotify freen kanssa on pienimuotoinen ongelma tuon PfblockerNG:n kanssa. Eli joskus se blockaa jonkin adtrackerin, jonka jälkeen spotify stoppaa soittamisen. Joutuu aina käyniistämään koko spotifyn uudelleen. En kuitenkaan löydä sitä blokcia esim. reportseista, jotta voisin whitelistata sen. Ei tuo nyt maailmoja kaada, mutta olisi kiva saada toimimaan.
Siis itse mainoksia en ole yrittänyt spotifystä blockata, vaan mielumin mainokset kuin se että soitto lakkaa.

Käytän siis noita samoja escaliburin listoja, tosin olen jättänyt ADs listat pois, kun aiheutti WAF ongelmia.

EDIT: Kyseinen spotify ongelma oli ehkäpä enemmän käyttäjävirhe. :facepalm: Itselläni oli arcolinuxissa oma arcolinux-hblock-git blocker joka tuon taisi aiheuttaa.
 
Viimeksi muokattu:
Huonoon aikaan jos pfSense on yrityskäytössä ja käytetään sen VPN ratkaisuja.
VPN-serverin päivitys etänä (ainakin pfSense:n) on hieman hasardia. Mutta jos hommat on tehty kunnolla(*), niin sen voi tehdä etänä toisen, riippumattoman VPN:n kautta (vaikka toisen pfSensen). Jos jotain menee vikaan, niin konsoliinkin pääsee etänä(*)
 
Tämäkin vielä. :cautious:
  • Reduced the default GUI web server certificate lifetime to 825 days to prevent errors on Apple platforms #9825
 
Tarkoitus olisi saada site-to-site vpn kahden pfSensen välille. Mielestäni sain yhteyden toimimaan tässä kotioloissa kahdella julkisella ip:llä, mutta nyt kun vein toisen purkin lopulliselle paikalle bitti ei enää kulje. Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan. Tarvitseeko site-to-site molemmissa päissä avoimia portteja vai onko mulla jotain häikkä asetuksissa?
 
Serverin päässä kuitu, kaikki portit auki. Tuo Yhteyspiste-palvelu maksaa 2 € / kk ja ihan periaatteen vuoksi vaihdan sitten vaikka DNA:n simmiin jos portteja pitää olla auki että VPN:n saa toimimaan.
 
Eli homman pitäisi siis ISP:n puolesta toimia, jos Client (Telia 4G) kytkeytyy Serveriin (kuitu). Toiseen suuntaan ei onnistu, ellei Teliassa ole vähintään yhteyspistepalvelu käytössä (APN opengate), koska ei ole julkista IPv4:ää.
Missä portissa serverin VPN on, ja mikä se on? Esim. OpenVPN oletus 1194/UDP
 
Tarkoitus olisi saada site-to-site vpn kahden pfSensen välille. Mielestäni sain yhteyden toimimaan tässä kotioloissa kahdella julkisella ip:llä, mutta nyt kun vein toisen purkin lopulliselle paikalle bitti ei enää kulje. Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan. Tarvitseeko site-to-site molemmissa päissä avoimia portteja vai onko mulla jotain häikkä asetuksissa?
IPSecillä?
Olen tehnyt pari kappaletta tuollaista tuotantokäyttöön, ja juuri Telian OpenGatella. Missä kohtaa paketti töksähtää?

Edit: IPSec tarvitsee julkisen IP:n ja portteja auki, mutta porttien pitäisi olla OpenGatessa auki.
 
Oli mikä VPN tahansa, kun se on asymmetrinen Client->Server, niin ainoastaan serverin puolella pitää olla niitä avoimia portteja, johon client kytkeytyy.
Tietämättä tarkempia tietoja, yksi veikkaus voisi olla IPSec-ongelma tupla-nattauksen kanssa. OpenVPN olisi helpompi.
 
OpenVPN:llä. OpenGatea mulla ei ole käytössä ja tuossa toisessa rinnalla olevassa wan-yhteydessä mulla ei ole edes mahdollisuutta avata portteja. Kait tuon jollain virityksellä sais toimiin? Esim. ZeroTierillä sais vissiin kahden koneen välille yhteyden, mutta oisko joku pfSensen tukema tapa saada verkot yhteen?
 
Viimeksi muokattu:
Onko tuo serveri nyt siis siinä ääressäsi ja kuidutettu internetiin? Jos on, niin suosittelen vaikka clientia kännykässä avuksi sen konffauksen tarkistamiseen ja debuggaamiseen. Kännyn pitää tietysti kusoilla oikeasti internetin suunnasta celludatalla tms.

Sitten kun serverin konffi on ok ja osaat yhden clientin konffata myös, voit käyttää samaa client-konffia siellä remoten clientin kanssa, tietysti mielellään omalla client-sertifikaatilla.
 
Tuli sitten purettua OpenVPN pois pfSensestä ja client softat pois laitteista. :(

Sen verran muutin tuota IPsec juttua. Tein itse nuo säännöt kun ne on oletuksena piilotettu.
Sain tehtyä ajastuksen, milloin VPN:n ei tarvi toimia. Lisäksi mulla on alias, jossa verkot, mistä voi ottaa VPN yhteyden ja tuo alias säännöissä. Lähinnä Elisan ja Telian mobiiliverkot ja muutama muu. Nuo ajastus ja alias jutut mulla oli vuosia OpenVPN:ssä käytössä.

Näillä mennään..
 
Moro,

Kaipaan suosituksia rautavaihtoehdoista, vaatimuksena lähinnä sellaiset, että mielellään passiivirauta, 4-6 ethernet-porttia, saisi suomesta ja hinta olisi alle 600. Tulisi pfSense käyttöön. Toimisi sisäverkon palomuurina ja vpn-serverinä.
 
Viimeksi muokattu:
Crash report begins. Anonymous machine information:

amd64
11.3-STABLE
FreeBSD 11.3-STABLE #236 21cbb70bbd1(RELENG_2_4_5): Tue Mar 24 15:26:53 EDT 2020 root@buildbot1-nyi.netgate.com:/build/ce-crossbuild-245/obj/amd64/YNx4Qq3j/build/ce-crossbuild-245/sources/FreeBSD-src/sys/pfSense

Crash report details:

PHP Errors:
[26-Mar-2020 16:57:43 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:47 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:48 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:54 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:54 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:58:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0
[26-Mar-2020 16:58:07 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0



No FreeBSD crash data found.
 
Asennuksen jälkeinen bootti niin seuraavat herjat.

[26-Mar-2020 16:49:57 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:49:59 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:49:59 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:01 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:01 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0

Toinen bootti niin ei herjannnu enää.

1. FreeRadius WIFI toimii
2. IPSec VPN toimii
3. pfBlockerNG näyttää toimivan
4. Arpwatch database nollaantui eli sähköpostiin tippuu ilmoituksia laitteista

Näin äkkiä tarkistettuna niin toimii ok. Aina voi löytyä ongelmia..
 
Turvallisinta pysyä jonkun aikaan vielä vanhassa versiossa. Eipä tuo itsellä muutenkaan niin isoa virkaa näyttele kuin erilliset verkot ja niiden välillä luoviminen miten nyt sit ikinä olenkaan määrittänyt.

Testatkoon hätäisemmät ja todentakoot ongelmat. :)
 
pkg audit -F käsky:

Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.

:hammer:
 
Keskustelu tuolla foorumilla.
 
WireGuard release 1.0.0 ja lisätty Linux 5.6 kerneliin. Saa nähdä, kauan kestää että löytyy pfSensestä.
 
pfSense 2.4.5 päivitetty ilman ongelmia. Itse asiassa asensin uuden version uuteen virtuaalikoneeseen ja kopioin konffiksen sinne. Sitten vähän verkkoliitäntöjä kliksutellen pois ja uusia päälle ja kovaa ajoa. Ihan kuin olisi tullut lisää nopeutta nettiyhteyteen?!?
 
Viimeksi muokattu:
WireGuard release 1.0.0 ja lisätty Linux 5.6 kerneliin. Saa nähdä, kauan kestää että löytyy pfSensestä.
En odota tuota edes 2.5.0:aan, vaikka muuten ominaisuus onkin kova lisä. BSD-puolella asiat tapahtuu verkkaisesti, ja pfSensen puolelta vielä enmmän verkkaisesti, joten 2.6.0 sitten :D
 
Ajantasainen Docker pfSense-boksissa olisi kova sana
Miksi? Ajele ennemmin sitä pfsenseä virtuaalisena ja dockeria jonkun distron päällä sen rinnalla. Itse ottaisin pfSensen mieluiten pelkkänä palomuurina ilman mitään ylimääräistä poislukien nyt saatavilla olevat paketit.
 
En välitä bootata palomuuria, katkaista sessioita ja yhteyksiä ja resetoida stateja kerran viikossa hostin päivitysten takia
 
En välitä bootata palomuuria, katkaista sessioita ja yhteyksiä ja resetoida stateja kerran viikossa hostin päivitysten takia
Ei ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.
 
Ei ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.
Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback Machine
Joku hifisti voi myös olla sitä mieltä, että virtualisoidussa palomuurissa menee perffiä hukkaan, vaikka siinä etujakin on.
 
Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback Machine
Joku hifisti voi myös olla sitä mieltä, että virtualisoidussa palomuurissa menee perffiä hukkaan, vaikka siinä etujakin on.
Niin, kunhan se hosti ei ole tavan Windows 10, ei normaalit päivitykset vaikuta virtuaalikoneisiin. Windowsin ulkopuolella ainoastaan kernelin päivitykset vaativat reboottia ja on hyvin harvinaista, että kerneliin tulee mitään omaan tietoturvaan vaikuttavia paikkauksia. Eihän pfSenseäkään tarvitse viikottain boottailla päivitysten takia.
Palomuurin pidän mielellään niin puhtaana ja turvallisena kuin voin, ja esim. SOCKS5 proxyä tulee pyöritettyä toisessa virtuaalikoneessa, koska vastaavan proxyn asentaminen pfSenseen itseensä vaatisi asentamisen pfSensen oman paketinhallinnan ulkopuolelta. Toki virtualisointi vaikuttaa hieman suorituskykyyn, mutta paravirtualisoidun ja varsinkin PCI-läpäistyn NICin kanssa ero on aika mitätön, CPU:n käyttö kasvaa vain parilla prosentilla.
 
VPN Scaling (pfSense)
Omassa IPsec virityksessä on jonkin verran korjaamista niin täytyy joskus käydä nuo läpi.
Tein muutamia muutoksia.

1. AES-NI CPU based acceleration --> AES-NI and BSD Crypto Device (aesni, cryptodev)

2. In Phase 1 (IKE) settings
  • AES256-GCM with 128 bit --> AES128-GCM with 128 bit
  • Hash SHA384 --> SHA256. Apple ei tue tuota AES-XCBC

3. In Phase 2 (Child SA) settings
  • AES256-GCM with 128 bit --> AES128-GCM with 128 bit
  • Do not select any Hash Algorithms. A hash algorithm is unnecessary for AES-GCM as it already includes authentication. Eli poistin SHA384
4. Enable Asynchronous Cryptography
IPsec cryptography jobs can be dispatched multi-threaded to run in parallel and increase performance. However, not all platforms and configurations fully support this function. To enable this capability, check Asynchronous Cryptography under VPN > IPsec on the Advanced tab.


Näyttää toimivan..
 
Viimeksi muokattu:
Olikos kenelläkään käytössä tuo IKEv2 VPN pfSensessä? Onko toiminut vakaasti?
Ajattelin, jos kokeilisi sitä tuon OpenVPN tilalle. Olisi muutamia etuja Applen laitteisiin eli ei tarvitsisi mitään client ohjelmistoa, koska tuo IKEv2 löytyy suoraan macOS, iOS ja IPadOS käyttiksistä.
Sitten mulla on ollut aikoinaan OpenVPN Access Serverissä käytössä VPN On-Demand niin senkin voisi virittää tuohon IKEv2 yhteyteen.

pfSense IKEv2 for iOS/macOS

On Demand VPN

Can I use iOS 6+ VPN-On-Demand with OpenVPN?
Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.
 
Kertokaapa tietämättömälle, milä on IPSec-sertifikaatti? SSL-sertifikaatin tiedän, mutta ei sillä oo mitään tekoa IPSecin kanssa?
 
Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.
Kyllä se loi ne säännöt kun kaikki toimi. Ne oli piilotettuja sääntöjä.
Tein myöhemmin nuo itse, eli tuo Disable all auto-added VPN päälle.
 
Viimeksi muokattu:
Ei taida onnistua iPhonen IKEv2:n konfigurointi ilman Mac-konetta. :/
Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.
MacOS medioita löytyy netistä niin asentaa sen johonkin VirtualBoxiin ja tämä on työkalu.
MacOS Serveristä löytyy tuosta työkalusta järeämpi versio, mutta sen pystyttäminen on turhaa.
 
Ei
Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.
MacOS medioita löytyy netistä niin asentaa sen johonkin VirtualBoxiin ja tämä on työkalu.
MacOS Serveristä löytyy tuosta työkalusta järeämpi versio, mutta sen pystyttäminen on turhaa.
Ei yhtään huvittaisi räpeltää Hackintoshia ja tehdä tuntitolkulla töitä, näinkin yksinkertaisen asian vuoksi. Ehkä suosiolla pystytän OpenVPN:n.


Mitä päivitykseen tulee, tuli vihdoinkin päivitettyä oman Shuttlen bioksen uusimpaan, ja samalla päivitin pfSensenkin.

Uptimea oli vajaat 200 päivää, eli juuri edellisestä päivityksestä lähtien. :)
 

Statistiikka

Viestiketjuista
257 566
Viestejä
4 477 222
Jäsenet
73 957
Uusin jäsen
helzinki

Hinta.fi

Back
Ylös Bottom