Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassator.effi.org
$ ntpdate -q tor.effi.org
server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202
18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:$ ntpdate -q tor.effi.org server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202 18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
Kuinkas paljon Fitletin tullit ovat?
Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr...NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:$ ntpdate -q tor.effi.org server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202 18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr...
En haluaisi aloittaa nollista. Pääsisiko ssh:n tmjs kautta jotain tiedostoa editoimaan manuaalisesti ?
Juu tuon ip:n blokkaa Talos lista.Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.
Tuosta ja lukuisista muista Tor-exit -nodeista saapuva liikenne on sinänsä syytä estää, ellei nimenomaisesti pyöritä jotain web-palvelua, koska tämän blokkaus aiheuttaa myös sen, että Tor-käyttäjät eivät tähän palveluun pääse. Nehän voi olla vaikka kiinalaisia lääkäreitä, jotka yrittävät kertoa, mitä siellä oikeasti tapahtuu.
Outgoing-liikenteen esto kyseiseen osoitteeseen on täysin turhaa, kuten jo sanoinkin.
Tällaisiin estolistoihin voi järkevästi vaikuttaa vain kahdella tavalla. Helpompi tapa on, jos blokkerissa on mahdollisuus tehdä omia whitelistoja, tai tehdä muita valintoja, esim. Tor exit-nodejen suhteen. Epävarmempi tapa on yrittää saada listoja muokatuksi, sikäli kun siellä on jotain virheitä. Huonoin vaihtoehto on tehdä omiin kopioihin muutoksia, joiden ylläpito voi käydä hankalaksi, jos se esim. vaikeuttaa listojen automaattista päivitystä tai suorastaan estää sen.
VPN-serverin päivitys etänä (ainakin pfSense:n) on hieman hasardia. Mutta jos hommat on tehty kunnolla(*), niin sen voi tehdä etänä toisen, riippumattoman VPN:n kautta (vaikka toisen pfSensen). Jos jotain menee vikaan, niin konsoliinkin pääsee etänä(*)Huonoon aikaan jos pfSense on yrityskäytössä ja käytetään sen VPN ratkaisuja.
Millainen nettiyhteys serverin päässä on? Opengate on (ollut) pelkästään julkinen mobiiliverkon IPv4 - ei staattinen. Onko siellä DDNS päällä?Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan.
IPSecillä?Tarkoitus olisi saada site-to-site vpn kahden pfSensen välille. Mielestäni sain yhteyden toimimaan tässä kotioloissa kahdella julkisella ip:llä, mutta nyt kun vein toisen purkin lopulliselle paikalle bitti ei enää kulje. Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan. Tarvitseeko site-to-site molemmissa päissä avoimia portteja vai onko mulla jotain häikkä asetuksissa?
Crash report begins. Anonymous machine information:
En odota tuota edes 2.5.0:aan, vaikka muuten ominaisuus onkin kova lisä. BSD-puolella asiat tapahtuu verkkaisesti, ja pfSensen puolelta vielä enmmän verkkaisesti, joten 2.6.0 sittenWireGuard release 1.0.0 ja lisätty Linux 5.6 kerneliin. Saa nähdä, kauan kestää että löytyy pfSensestä.
WireGuard release 1.0.0
Hey guys, Now that WireGuard is officially 1.0.0 and the Linux kernel will include it by default, would it be time to start including it the following pfsens...forum.netgate.com
Ajantasainen Docker pfSense-boksissa olisi kova sanaEn odota tuota edes 2.5.0:aan, vaikka muuten ominaisuus onkin kova lisä. BSD-puolella asiat tapahtuu verkkaisesti, ja pfSensen puolelta vielä enmmän verkkaisesti, joten 2.6.0 sitten
Miksi? Ajele ennemmin sitä pfsenseä virtuaalisena ja dockeria jonkun distron päällä sen rinnalla. Itse ottaisin pfSensen mieluiten pelkkänä palomuurina ilman mitään ylimääräistä poislukien nyt saatavilla olevat paketit.Ajantasainen Docker pfSense-boksissa olisi kova sana
Ei ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.En välitä bootata palomuuria, katkaista sessioita ja yhteyksiä ja resetoida stateja kerran viikossa hostin päivitysten takia
Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback MachineEi ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.
Niin, kunhan se hosti ei ole tavan Windows 10, ei normaalit päivitykset vaikuta virtuaalikoneisiin. Windowsin ulkopuolella ainoastaan kernelin päivitykset vaativat reboottia ja on hyvin harvinaista, että kerneliin tulee mitään omaan tietoturvaan vaikuttavia paikkauksia. Eihän pfSenseäkään tarvitse viikottain boottailla päivitysten takia.Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback Machine
Joku hifisti voi myös olla sitä mieltä, että virtualisoidussa palomuurissa menee perffiä hukkaan, vaikka siinä etujakin on.
Tein muutamia muutoksia.VPN Scaling (pfSense)
Omassa IPsec virityksessä on jonkin verran korjaamista niin täytyy joskus käydä nuo läpi.VPN Scaling | pfSense Documentation
docs.netgate.com
Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.Olikos kenelläkään käytössä tuo IKEv2 VPN pfSensessä? Onko toiminut vakaasti?
Ajattelin, jos kokeilisi sitä tuon OpenVPN tilalle. Olisi muutamia etuja Applen laitteisiin eli ei tarvitsisi mitään client ohjelmistoa, koska tuo IKEv2 löytyy suoraan macOS, iOS ja IPadOS käyttiksistä.
Sitten mulla on ollut aikoinaan OpenVPN Access Serverissä käytössä VPN On-Demand niin senkin voisi virittää tuohon IKEv2 yhteyteen.
pfSense IKEv2 for iOS/macOS
pfSense IKEv2 for iOS/macOS – Part 1
In this article, we’ll configure the certificates necessary to set up an IKEv2 VPN in pfSense. Articles in This Series: Part 1 (Current Article) Part 2 – VPN Configuration Part 3 –…grokdesigns.com
On Demand VPN
pfSense IKEv2 for iOS/macOS – Part 4
In this article, we’ll configure On Demand VPN for iOS and macOS devices to connect to the VPN we created. Articles in This Series: Part 1 – Certificate Configuration Part 2 – VPN…grokdesigns.com
Can I use iOS 6+ VPN-On-Demand with OpenVPN?
Can I use iOS 6+ VPN-On-Demand with OpenVPN? | OpenVPN
VPN-On-Demand (VoD) allows a VPN profile to specify the conditions under which it will automatically connect. OpenVPN on iOS fully supports VoD.openvpn.net
Kyllä se loi ne säännöt kun kaikki toimi. Ne oli piilotettuja sääntöjä.Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.
Sulla on säännöt WAN:n puolella?Kyllä se loi ne säännöt kun kaikki toimi. Ne oli piilotettuja sääntöjä.
Tein myöhemmin nuo itse, eli tuo Disable all auto-added VPN päälle.IPsec and firewall rules | pfSense Documentation
docs.netgate.com
Kyllä, kaksi sääntöäSulla on säännöt WAN:n puolella?
Ei taida onnistua iPhonen IKEv2:n konfigurointi ilman Mac-konetta. :/Kyllä, kaksi sääntöä
UDP 500 (ISAKMP)
UDP 4500 (IPsec NAT-T)
Koska sille löytyisi natiivituki suoraan iOS:ssa, ja sen lisäksi IPSec lienee astetta nopeampi.Ihan mielenkiinnosta, niin miksi IPsec eikä openvpn pfsensessä?
Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.Ei taida onnistua iPhonen IKEv2:n konfigurointi ilman Mac-konetta. :/
Ei yhtään huvittaisi räpeltää Hackintoshia ja tehdä tuntitolkulla töitä, näinkin yksinkertaisen asian vuoksi. Ehkä suosiolla pystytän OpenVPN:n.Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.
MacOS medioita löytyy netistä niin asentaa sen johonkin VirtualBoxiin ja tämä on työkalu.
MacOS Serveristä löytyy tuosta työkalusta järeämpi versio, mutta sen pystyttäminen on turhaa.Apple Configurator
Apple Configurator makes it easy to deploy iPad, iPhone, iPod touch, and Apple TV devices in your school or business. Use Apple Configurator to quickly configure large numbers of devices connected to your Mac via USB with the settings, apps, and data you specify for your students, employees...apps.apple.com