Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Minkälaista rautaa vaatii pfSense että 1000/1000 kuituyhteys toimisi suunnilleen tuona gigaisena? Nykyinen asuksen reititin ei jaksa kuin ~300 megaa.

Suosituimmat fanless-boksit lienevät APU2, Fitlet2 ja Qotom (eri versiot). Noi kaikki kykenee gigaseen. APU2 on nuhaisin, joten sitä en suosittele jos käytät paljon plugareita ja muita pfSensen lisäosia tai VPN:ää. Itse rakentamalla melkein kaikki nykyraudat, joissa on AES-NI, pystyy tohon. Sitten voi miettiä pyrkiikö fanless-toteutukseen vai ei ja valkkaa jonkun barebone-aihion sen mukaan. Verkkokorteissa kannattaa suosia Inteliä, toimii pfSense:ssä paremmin kuin Realtek.
 
pkg audit -F käsky:

Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.

:hammer:
Tilanne (pfSense 2.4.5) nyt reilu kuukauden jälkeen..

Fetching vuln.xml.bz2: .......... done
python27-2.7.17_1 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

python37-3.7.6 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

openvpn-2.4.8 is vulnerable:
openvpn -- illegal client float can break VPN session for other users
CVE: CVE-2020-11810
WWW: VuXML: openvpn -- illegal client float can break VPN session for other users

mysql57-client-5.7.29 is vulnerable:
MySQL Client -- Multiple vulerabilities
CVE: CVE-2020-2933
CVE: CVE-2020-2922
CVE: CVE-2020-2875
CVE: CVE-2020-2934
CVE: CVE-2020-2752
WWW: VuXML: MySQL Client -- Multiple vulerabilities

4 problem(s) in 4 installed package(s) found.
 
OPNSensen jatkuva päivitysmalli olisi kyllä parempi, niin kuin yleensäkin

OPNsense offers weekly security updates with small increments to react on new emerging threats within in a fashionable time. A fixed release cycle of 2 major releases each year offers businesses the opportunity to plan upgrades ahead. For each major release a roadmap is put in place to guide development and set out clear goals.
 
Onko Pfsensessä aina ollut tuo Auto Configuration Backup vai tuliko tässä uusimmassa (pfSense 2.4.5) versiossa vasta?
 
Laitoin OPNSensen testiin.

Untitled.png


Löytyy tästäkin jotain

root@OPNsense:~ # pkg audit -F
vulnxml file up-to-date

py37-yaml-5.2 is vulnerable:
py-yaml -- FullLoader (still) exploitable for arbitrary command execution
CVE: CVE-2020-1747
WWW: VuXML: py-yaml -- FullLoader (still) exploitable for arbitrary command execution

openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967
WWW: VuXML: OpenSSL remote denial of service vulnerability

2 problem(s) in 2 installed package(s) found.


Ei ole kovin vanhoja.
Täytyy testailla..
 
Onko Pfsensessä aina ollut tuo Auto Configuration Backup vai tuliko tässä uusimmassa (pfSense 2.4.5) versiossa vasta?
Tuli 2.4.4 versiossa.
 
Laitoin OPNSensen testiin.

Untitled.png


Löytyy tästäkin jotain

root@OPNsense:~ # pkg audit -F
vulnxml file up-to-date

py37-yaml-5.2 is vulnerable:
py-yaml -- FullLoader (still) exploitable for arbitrary command execution
CVE: CVE-2020-1747
WWW: VuXML: py-yaml -- FullLoader (still) exploitable for arbitrary command execution

openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967
WWW: VuXML: OpenSSL remote denial of service vulnerability

2 problem(s) in 2 installed package(s) found.


Ei ole kovin vanhoja.
Täytyy testailla..
Joko siihen saa pfBlockerNG:n, tai vastaavan?
 
Joko siihen saa pfBlockerNG:n, tai vastaavan?
En huomannut katsoa, mitä siihen saa. Asensin sen valmiiksi niin täytyy viikonloppuna tutkia.
Ei toimi pfBlockerNG:ssä enää tuo Suomen lista niin mulla on taas käytössä AdGuard Home :)
 
Laitoin OPNSensen testiin.
:
openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967

:
Ei ole kovin vanhoja.
Täytyy testailla..
OpenSSL-1.1.1g on viikon vanha ja f alle kuukauden. Mahdollisuuksien rajoissa siis on, että OPNsenseen noita päivitellään ripeasti.
 
Tuossa OPNsensen roadmap.
QEMU/KVM:ssä oli versio 19.1 jonka päivitin nyt 20.1:een. Vieläkään noita päivityksiä ei ole automatisoitu, joten sellaiseen käyttöön missä ei ole joku paikallisesti tai VPN:n yli päivittämässä etänä tusina kertaa vuodessa, tämä ei ole yhtään parempi kuin pfSense.

En nyt muista tai heti keksi syytä, ettei tällä voisi korvata nykyistä pfSenseä, vaikka yleisesti vähän karummalta ja kliinisemmältä vaikuttaakin. Ja onhan tuossa mielenkiintoisia featureita kuten VXLAN.
 
Pitkästä aikaa ja toivottavasti myös lopullisesti pfSense (2.4.5) ajossa.

Ei käytännössä liikennettä tai muutakaan, mutta loadit
2.01, 1.85, 1.83

fitlet2
Koodi:
Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (inactive)

AES-NI inactive, vika tuossa vai toisaalla?
ja kuulemma Fortnite lagaa..

edit: Hieman putosi

1588107020334.png


Näiden jälkeen, kun none olivat.

1588107064287.png


Koodi:
Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
 
Viimeksi muokattu:
Bufferbloat saattaa olla yksi syy yhteyden laadun surkeuteen, riippumatta siitä mitä yhteyden (hetkelliset) maksiminopeudet ovat.

Kannattaa ottaa FQ_Codel käyttöön.





Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match
 
Viimeksi muokattu:
Bufferbloat saattaa olla yksi syy yhteyden laadun surkeuteen, riippumatta siitä mitä yhteyden (hetkelliset) maksiminopeudet ovat.

Kannattaa ottaa FQ_Codel käyttöön.





Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match

Videosta poiketen lisäksi codel tilalle tail drop. Aiheuttaa virheitä jos on codel ja fqcodel kuten tuossa videossa. Loki tietoihin alkaa tulla ilmoituksia unable to configure flowset, flowset busy.
 
Ettei olisi epänormaalin korkean CPU-loadin syynä tämä surullisen kuuluisa (avoin?) bugi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
AES-NI ei vaikuta kuin krypto-usecaseihin, kuten VPN:ään

Pitääpä tsekata tuokin. Konfferenssi puheluissa tulee kyllä pätkäisyjä, ehkä sellaisia alle puolesta sekunnista sekuntiin ja aika tiuhaan.

edit:

last pid: 51698; load averages: 4.35, 3.05, 2.34 up 3+17:29:55 17:17:26
195 processes: 5 running, 161 sleeping, 29 waiting

Mem: 71M Active, 214M Inact, 389M Wired, 73M Buf, 7035M Free
Swap: 4096M Total, 4096M Free

edit2:
Workaround:
- disable "Block bogon networks" on all interfaces -> WAN:sta otettu pois
- and then set "Firewall Maximum Table Entries" in "System | Advanced | Firewall & NAT" to a value less then 65535 -> Muutettu 400000 -> 65534

edit3:
Ei muutosta ylläolevien muutoksien kanssa tuohon bufferbloattiin, joten se vielä pitää katsoa.
1588170499852.png

MUTTA, puhelu ei enää pätki :thumbsup:

Nyt tähän suuntaan loadit:
last pid: 74596; load averages: 0.41, 0.37, 0.85 up 3+17:50:32 17:38:03
195 processes: 5 running, 161 sleeping, 29 waiting

Mem: 154M Active, 124M Inact, 395M Wired, 73M Buf, 7035M Free
Swap: 4096M Total, 4096M Free

edit4: Käytän tätä nyt hieman muistiinpanoina, toivottavasti näistä joskus saattaa olla muillekkin apua.. :)

0.28, 0.36, 0.34

1588175192084.png
 
Viimeksi muokattu:
Vielä ei apua. Missasinkohan jotain?

WAN Down
1588177481868.png

Queue Management Algorithm kokeiltuna myös tail drop, silloin ECN:ää ei saa päälle. Ei tuettu.
1588177510270.png

1588177535469.png

WAN Down Q
1588177574044.png

1588177624991.png


WAN Up and Up Q vedetty sitten vastaavista, kuin nuo. Nopeus vedetty alakanttiin todellisesta.
 
Viimeksi muokattu:
Eikös ne floating rulesit pitänyt vielä laittaa, että pingit kulkee limitterin ohi/läpi/tmjs. jotenkin priorisoidusti.


1588179819660.png


1588179951704.png

1588179975836.png








Itselläni oli hiukan eri arvoja tuolle Codelille (ainakin tuota Quantum 300:sta oli jossain suositelu):

1588180275027.png
 
Viimeksi muokattu:
Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match

Käyn viestejä uudelleen läpi, kun varmaan jotain muutakin missasin :)
Kokeilin vaihtaa Pass -> Match ja dslreportsin BufferBloat tulos putosi A -> B
Tämä kokeiltu silloin kun Queue Management Algorithm on Tail Drop

edit:
Sama kun vaihtoi Tail Drop -> Codel
 
Viimeksi muokattu:
Käyn viestejä uudelleen läpi, kun varmaan jotain muutakin missasin :)
Kokeilin vaihtaa Pass -> Match ja dslreportsin BufferBloat tulos putosi A -> B
Tämä kokeiltu silloin kun Queue Management Algorithm on Tail Drop

edit:
Sama kun vaihtoi Tail Drop -> Codel
Tässä on hyvä listaus mitä kaikkea kannattaa säätää: Playing with fq_codel in 2.4
 
Käyttääkö joku tuota gateway pingerhommelia muuhun kuin oman palvelutarjoajan seuraamiseen ? Mietin, että lisäisinkö jonkin googlen esim. 8.8.8.8 tuohon lisäksi. Ihan kivaa infoahan se olisi. Onko muita parempia ehdotuksia. Esim. nyt kun telia oli alhaalla sen puoli päivää, niin kyllä tuo pingaili palveluntarjoajaa ihan ok, vaikkei mihinkään päässytkään.

EDIT: äääh.. ei se mennytkään niinkuin luulin. Eli siihen pystyi vain vaihtamaan tarkkailtavan IP:n ei lisäämään. :(
 
Viimeksi muokattu:
Käyttääkö joku tuota gateway pingerhommelia muuhun kuin oman palvelutarjoajan seuraamiseen ? Mietin, että lisäisikö jonkin googlen esim. 8.8.8.8 tuohon lisäksi. Ihan kivaa infoahan se olisi. Onko muita parempia ehdotuksia. Esim. nyt kun telia oli alhaalla sen puoli päivää, niin kyllä tuo pingaili palveluntarjoajaa ihan ok, vaikke mihinkään päässytkään.
Joskus oli käytössä kun oli dual wan. Nyt ei ole kuin yksi liittymä niin ei ole käytössä.
Onkohan Googlella nuo public dns palvelimet suomessa?
 
Ettei olisi epänormaalin korkean CPU-loadin syynä tämä surullisen kuuluisa (avoin?) bugi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
AES-NI ei vaikuta kuin krypto-usecaseihin, kuten VPN:ään

Seems like the fix for this will land in 2.4.5-p1 which is coming soon. But, this person was desperate. So as a test, I put the following in their /boot/loader.conf.local:

Koodi:
kern.smp.disabled=1
 
Koodi:
kern.smp.disabled=1
Tuon workaroundin (VM-keskusteluissa oli jo aiemmin mainittu corejen tiputus yhteen) käyttö kyllä heikentänee perffiä, joten jos pfSense ei jumaa yhtenään muilla workaroundeilla, tätä ei kannata käyttää.
 
Tuli iso kasa päivityksiä eilen. PfBlockerNG päivittyi pariin kertaan.

arpwatch 0.2.0_3
freeradius3 0.15.7_15
pfBlockerNG-devel 2.2.5_32
 
OpenSSL-1.1.1g on viikon vanha ja f alle kuukauden. Mahdollisuuksien rajoissa siis on, että OPNsenseen noita päivitellään ripeasti.
OPNsense 20.1.6
Koodi:
***GOT REQUEST TO AUDIT SECURITY***
Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.
***DONE***

openssl    1.1.1g.1
py37-yaml    5.3.1
 
Tuli iso kasa päivityksiä eilen. PfBlockerNG päivittyi pariin kertaan.
pfBlockerNG-devel 2.2.5_32
Minulla ei suostu päivittämään pfBlockerNG-develiä.

Löytyykö tuo asennuslogi jostain ? Tuosta asennusikkunasta ei voi kopioida sitä, kun se jotenkin refressaa niin nopeasti.
Se kyllä näyttäisi login mukaan onnistuvan, mutta menee niin nopeasti läpi ettei se mitään oikeasti taida tehdä.
Ja aina se näyttää että samaa versiota olisi tarjolla päivitettäväksi.

Säilyykö asetukset jos poistaa ja asentaa uudelleen ? Vai pitääkö ne palauttaa backupista tai tehdä käsin ?

EDIT: Rebootti auttoi, sen jälkeen päivitys meni läpi.
 
Viimeksi muokattu:
Moro, onks jollain tietoa että blokkaako Pfsensen pfblockerng Viaplayn kun millään laitteella ei toimi, lg oled c9, ps3, xbos ja shield? Xboxilla lähti leffa pyörimään muttei esim. ufc, millään muulla ei tapahdu mitään. Reilu puol tuntia aspan kanssa juttelin ja tuli mieleen että tästä varmaa johtuu :hmm: Muuten netti toimii ok (youtubet ym.) ja asetukset pistetty niinkuin Lawrence videollaan neuvoo.
Edit. Olen joutunut ylen, s-pankin ja bikester.fi lisäämään whitelistalle että sivut toimii mutta en näe mikä voisi olla Viaplayn ip osoitteet.
 
Viimeksi muokattu:
Moro, onks jollain tietoa että blokkaako Pfsensen pfblockerng Viaplayn kun millään laitteella ei toimi, lg oled c9, ps3, xbos ja shield? Xboxilla lähti leffa pyörimään muttei esim. ufc, millään muulla ei tapahdu mitään. Reilu puol tuntia aspan kanssa juttelin ja tuli mieleen että tästä varmaa johtuu :hmm: Muuten netti toimii ok (youtubet ym.) ja asetukset pistetty niinkuin Lawrence videollaan neuvoo.
Edit. Olen joutunut ylen, s-pankin ja bikester.fi lisäämään whitelistalle että sivut toimii mutta en näe mikä voisi olla Viaplayn ip osoitteet.

Ei ole tietoa, mutta helppo testata, kun laitat tilapäisesti kokonaan pois käytöstä. Toinen vaihtoehto on katsoa reports välilehdeltä, että mitä on estetty ja tuleeko uusia merkintöjä, kun yrität käynnistää viaplayn.
 
Ei ole tietoa, mutta helppo testata, kun laitat tilapäisesti kokonaan pois käytöstä. Toinen vaihtoehto on katsoa reports välilehdeltä, että mitä on estetty ja tuleeko uusia merkintöjä, kun yrität käynnistää viaplayn.
Joo tuota reports olen koittanutkin eikä siellä imo näkynyt mitään sellaista, nyt pistin kaikki geoip välilehdellä disable tilaan mutta yhäkään ei shieldin kautta toimi mikään ja aikaisemmin xbox kyllä toisti leffat :hmm: mutta ei Ufc 249 mitä varten viaplayn hankkisin, 'varmuuskopiokin' jo ilmestyi kostoksi kaikille mutta nyt lg töllön kautta toimii, saikohan tekniikan pojat jotain aikaiseksi kun aspa jo eilen ilmoitti että lg töllöillä jotain ongelmia heidän sovelluksensa kanssa, vihdoinkin pääsee katsomaan :thumbsup:
Pitää testata vielä lisää tuota myöhemmin.
 
OPNsense 20.1.7:
"Also included is a patch for the packet filter kernel code which could crash with shared forwarding when interfaces disappeared due to use after free in the default network stack path.
- src: fix pf shared forwarding on non-existing interfaces"

Tuo haiskahtaa vähän samalta fiksiltä, jota ei ole vielä rellattu pfSense 2.4.5:een, mutta lähellä kai on sekin: 2.4.5-p1 - All Open Issues - pfSense - pfSense bugtracker
 
Viimeksi muokattu:
Täytyy ottaa OPNsense testiin. "Työkiireiden" takia jäänyt tekemättä. Kone on jo pystyssä :)
 
pfSense 2.4.5 ja pfBlockerNG-devel 2.2.5_32: xmllintillä kova iltapuhde:
313:22h 100.00% /usr/local/bin/xmllint --xpath string(//pfsense/installedpackages/pfblockerngipsettings/config/ip_placeholder) /cf/conf/config.
 
Proxmox 6.2-4 sisässä ja ihmettelemässä miten sitä kannattaisi konffata esim. OPNsense:lle. i3-7130U @ 2.70 GHz (dual core, HT), 16 GB DDR4 @ 2133, 480 GB sata3 ssd.
AMI bios, valinnainen watchdog asetettavissa max 120 sekuntiin (vaatii OS-tuen)
EDIT: OPNsense 20.1 asennettu ja päivitetty 20.1.7:ään
EDIT2: pihole v5.0 CentOS 8 containerissa 512 MB->1024 MB RAM, 1 GB disk
EDIT3: dnscrypt 2.0.42 containerissa, piholen käytössä
 

Liitteet

  • 2020-05-23 20.18.52.jpg
    2020-05-23 20.18.52.jpg
    4 MB · Luettu: 57
  • 2020-05-23 20.25.24.jpg
    2020-05-23 20.25.24.jpg
    4 MB · Luettu: 59
  • 2020-05-23 20.23.11.jpg
    2020-05-23 20.23.11.jpg
    5,6 MB · Luettu: 52
Viimeksi muokattu:
Ei välttämättä osu ihan tämän ketjun aihepiiriin, mutta kysytään kuitenkin. Tässä lämpimikseni yritän esim. saada pfsenseesn tuon ddns toimimaan, mutta onnistuuko se vain ja ainoastaan noilla ddns palveluilla vai onnistuuko se esim webhotelli ratkaisulla mistä ostin .fi domainin testejä varten? Eli sinne DNS tietueisiin laittaa jotain (koti IP osoitteen?) vai eikö nuo palvelut taivu tällaiseen?
 
Ei välttämättä osu ihan tämän ketjun aihepiiriin, mutta kysytään kuitenkin. Tässä lämpimikseni yritän esim. saada pfsenseesn tuon ddns toimimaan, mutta onnistuuko se vain ja ainoastaan noilla ddns palveluilla vai onnistuuko se esim webhotelli ratkaisulla mistä ostin .fi domainin testejä varten? Eli sinne DNS tietueisiin laittaa jotain (koti IP osoitteen?) vai eikö nuo palvelut taivu tällaiseen?

kyllä juuri sinne domainin dns A recordiin ip osoite mihin haluat liikenteen ohjautuvan, mikäli ei ole kiinteä ip niin kannattaa katsoa joku skripti joka päivittää tuon dns recordin jos ip muuttuu.
 

Statistiikka

Viestiketjuista
262 409
Viestejä
4 550 433
Jäsenet
74 984
Uusin jäsen
Tere

Hinta.fi

Back
Ylös Bottom