Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

kyllä juuri sinne domainin dns A recordiin ip osoite mihin haluat liikenteen ohjautuvan, mikäli ei ole kiinteä ip niin kannattaa katsoa joku skripti joka päivittää tuon dns recordin jos ip muuttuu.
Tuollain sen laitoinkin, mutta ei vain tule mitään Cached IP kohtaan. Kyseessä on siis Domainhotelli - Halvin .fi domain eli verkkotunnus 9 euroa / vuosi. Myös nopea Wordpress webhotelli. missä yritän tuota laittaa ja pfsensen listalta laitoin sellaisen tarjoajan (Service), kuin "SelfHost". Onkohan noilla kuinka paljon merkitystä, että minkä laitta, kun luonnollisesti domainhotellia ei listalta löydy. Laitoin myös kirjautumis asetuksiin domainhotellin kirjautumistiedot.
 
Domainhotellissa domainiin kuuluu myös dns-palvelu jolla saa liikenteen ohjattua pfsenselle.
 
Menin jo hiukan sekaisin... Pitäisikö tuo siis tehdä DNS-asetuksiin A recordina vai Ohjaukset asetuksen alta? Kyllähän tuo A record toimii muuten, mutta ei pfsensen ddns:än kanssa. Eli jos laittaa A recordina, niin silloin vaatinee porttiohjauksen muurille ulos päin? Se ei kuitenkaan ollut se idea vaan testata tuota ddns palvelua pfsensessä.

Ilmeisesti tuo ohjauskaan ei ole sitä mitä haen tässä tapauksessa.

domainhotellista lainattu:
"Uudelleenohjauksen avulla voit ohjata domainin toiseen osoitteeseen, joko verkkosivustolle tai tietylle verkkosivulle. Voit esimerkiksi luoda uudelleenohjauksen siten, että kävijät ohjautuvat osoitteesta www.esimerkki.com automaattisesti osoitteeseen www.esimerkki.fi. "


Edit: Testasin vielä tuolla No-IP, niin se toimi moitteetta siinöä mielessä, että yhdisti. En ole vielä hirveästi aiheeseen tutustunut tämän kanssa, niin tarvitseeko tuo vielä kuitenkin porttiohjauksen, että pääsee ulkoa käsiksi?
Kummassakin tapauksessa pääsee sisäverkosta muuriin kiinni noilla tehdyillä nimillä (domainhotellissa ja No-IP:ssä), mutta ei ulkoverkosta.
 
Viimeksi muokattu:
Menin j ohiukan sekaisin... Pitäisikö tuo siis tehdä DNS-asetuksiin A recordina vai Ohjaukset asetuksen alta? Kyllähän tuo A record toimii muuten, mutta ei pfsensen ddns:än kanssa. Eli jos laittaa A recordina, niin silloin vaatinee porttiohjauksen muurille ulos päin? Se ei kuitenkaan ollut se idea vaan testata tuota ddns palvelua pfsensessä.

Ilmeisesti tuo ohjauskaan ei ole sitä mitä haen tässä tapauksessa.

domainhotellista lainattu:
"Uudelleenohjauksen avulla voit ohjata domainin toiseen osoitteeseen, joko verkkosivustolle tai tietylle verkkosivulle. Voit esimerkiksi luoda uudelleenohjauksen siten, että kävijät ohjautuvat osoitteesta www.esimerkki.com automaattisesti osoitteeseen www.esimerkki.fi. "

Domainhotelli ei taida tukea mitään ddns-protokollaa. Itse vaihdoin Hostingpalvelusta hankitun domainin dns-palvelimiksi Cluodflaren palvelimet, jotka tukee ddnssää ja sille löytyy toimiva clientti pfSensestä.
 
Varmaan just näin. Sen verran tuo toimii domainhotellilla esim. että kun lisää noi tiedot ddns palveluun, niin pfsense ei anna virhettä. Ilman tuota tulee seuraava virhe. Jos siis haluaisin pitää tuon ulkoverkkoon auki, niin tarvinnee sen porttiohjauksen. En tosin halua, vaan teen kaikki VPN yli, mutta halusin testailla näitä.

1590518988881.png


Tämä siis sisäverkossa, kun en ole vielä kerinnyt testaamaan porttiohjauksen kanssa.

Edit: testi tehty porttiohjauksen kanssa ja toimii myös ulkoverkosta.
 
Viimeksi muokattu:
Easylist ei päivity enää pfBlockerNG mukaan. Onko muilla sama vika?

Seuraava virheilmoitus tulee päivityksen yhteydessä:

[ EasyPrivacy ] Downloading update [ 05/31/20 20:30:15 ] . cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
 
Shuttle Slim DS77U versioon taas uutta BIOS päivitystä. Intelin reikiä.

DS77UE00.114
Release Date: 2020/04/06 Checksum: 46F0
1.Update ME for intel security.


Ei yhtään huvittais päivittää kun päivityskuvio jeesuksen aikainen :darra:
 
Shuttle Slim DS77U versioon taas uutta BIOS päivitystä. Intelin reikiä.

DS77UE00.114
Release Date: 2020/04/06 Checksum: 46F0
1.Update ME for intel security.


Ei yhtään huvittais päivittää kun päivityskuvio jeesuksen aikainen :darra:
Hah DS68U ei saanut päivitystä. Lieneekö jo kupattu? :think:

Eipä noita Intelin reikiä kannata hirveästi tuskailla. Niistä uutisoidaan vaikka mitä mutta edelleen ne konkreettiset murrot loistavat poissaoloaan. :)
 
Hah DS68U ei saanut päivitystä. Lieneekö jo kupattu? :think:

Eipä noita Intelin reikiä kannata hirveästi tuskailla. Niistä uutisoidaan vaikka mitä mutta edelleen ne konkreettiset murrot loistavat poissaoloaan. :)
Juu voi olla, että vanhat Slim versiot tippuu tuen piiristä. Seuraavana on oma laite vuorossa.
Tuli päivitettyä tuo bios.

Untitled.png


Edit: Huonosti Amazonilla tuota uutta mallia.

Jimmsiltä kait saa.
 
Viimeksi muokattu:
En tiedä liittyykö samaan ongelmaan kuin tuossa muutama viesti aiemmin, ettei pfBlockerNG päivity. Itselläni siis asetukset laitettu niiden Excaliburin ohjeiden mukaan (jotain listoja jättelin pois) ja sen jälkeen en ole pahemmin koko blockkeria seuraillut aktiivisesti. No nyt huomasin, että aika huonosti tuntuu päivittyvän. Eli noi PRI listat ovat päivittyneet viimeksi yli kuukausi sitten. Ja näyttäisi että cryptojackkeritkin ovat lopettaneet päivittymisen.

1591342661067.png


Jos ajaa updaten, niin sen antaa tällaisen login:
Koodi:
 UPDATE PROCESS START [ 06/05/20 10:40:30 ]

===[  DNSBL Process  ]================================================

 Loading DNSBL Statistics... completed
 Loading DNSBL SafeSearch...  disabled
 Loading DNSBL Whitelist... completed
 Loading TOP1M Whitelist... completed

[ D_Me_Malv ]             exists.
[ MDL ]                 exists.
[ CoinBlocker_All ]         exists.
[ NoCoin ]             exists.
Saving DNSBL database... completed


===[  GeoIP Process  ]============================================


===[  IPv4 Process  ]=================================================

[ Abuse_IPBL_v4 ]         exists. [ 06/05/20 10:40:31 ]
[ CINS_army_v4 ]         exists.
[ ET_Block_v4 ]             exists.
[ ISC_Block_v4 ]         exists.
[ Talos_BL_v4 ]             exists.
[ Alienvault_v4 ]         exists.
[ BlockListDe_All_v4 ]         exists.
[ MDL_v4 ]             exists.
[ BDS_Ban_v4 ]             exists.
[ MalC0de_v4 ]             exists.
[ Whitelist_custom_v4 ]         exists.
[ DNSBLIP_v4 ]             Downloading update .
[ DNSBLIP_v4 ] file_get_contents(/var/db/pfblockerng/DNSBLIP_v4.txt): failed to open stream: No such file or directory


 [ pfB_DNSBLIP_v4 - DNSBLIP_v4 ] Download FAIL
   Local File Failure


The Following List has been REMOVED [ DNSBLIP_v4 ]


===[  Aliastables / Rules  ]==========================================

No changes to Firewall rules, skipping Filter Reload
No Changes to Aliases, Skipping pfctl Update

===[  Kill States  ]==================================================

Firewall state(s) validation for [ 55 ] IPv4 address(es)...
Firewall state(s) validation for [ 2 ] IPv6 address(es)...
No matching states found

======================================================================

 UPDATE PROCESS ENDED [ 06/05/20 10:40:33 ]
 
@heebo1974 Kannattaa varmistaa että sulla on riittävästi tilaa NAT-taulukoille. PR-listat sisältävät sen verran paljon rivejä etteivät välttämättä mahdu jos raja on liian pieni. 2M:lla pitäisi toimia:

1591344053172.png


1591344151076.png


Laitan tänne päivitystä aiempiin listaamani listoihin, kunhan vain ehdin. :)
 
@heebo1974 Kannattaa varmistaa että sulla on riittävästi tilaa NAT-taulukoille. PR-listat sisältävät sen verran paljon rivejä etteivät välttämättä mahdu jos raja on liian pieni. 2M:lla pitäisi toimia:

Jep tuo taisi olla syynä, koska räpeltelin tuon arvoa silloin kun päivitin pfsensen ja oli jotain ihme lagitusongelmaa. No nyt ei ollut ongelmia vaikka nostin sen tuonne 2M:aan. Ja suostui päivittämään blockerin listat. :)
 
Jep tuo taisi olla syynä, koska räpeltelin tuon arvoa silloin kun päivitin pfsensen ja oli jotain ihme lagitusongelmaa. No nyt ei ollut ongelmia vaikka nostin sen tuonne 2M:aan.
Tuon arvon nostaminen samalla haukkaa enemmän RAM-muistia. Ei siis kannata hakat poskettomia lukemia jos RAM:ia on tyyliin 8GB tai vähemmän. :)
 
Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:
Koodi:
X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...
 
AddTrust root sertifikaatti vanheni viime kuun lopussa. Virhe liittyy siihen.


files.pfsense.org käyttää kyllä ainakin tällä hetkellä sertifikaattia minkä ketjussa tuota vanhentunutta roottia ei ole.

Tuleeko noita virheitä edelleen vai olisiko jo korjattu?

netgaten foorumilla myös aiheesta:

 
Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:
Koodi:
X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...

Jotain tuosta:
 
Joku plugin, joka käyttää omatekoista TLS-sertifikaattia yrittäessään monitoroida HTTPS-liikennettä?

Unohtu laittaa sen mailin otsikko mukaan:
Koodi:
Arpwatch Notification : Cron <root@pfSense> /usr/bin/nice -n20 /etc/rc.update_bogons.sh

Asennettuna on seuraavat plugarit:
  • acme
  • arpwatch
  • Cron
  • openvpn-client-export
  • pfBlockerNG-devel
Eli oisko se toi Arpwatch tuon otsikon mukaan?

pfSensen certtimanagerissa ei näy mitään ylimääräistä. Ainoastaan Lets Encryptin voimassa oleva certti ja OpenVPN:n certit, jotka on myös voimassa.
 
AddTrust root sertifikaatti vanheni viime kuun lopussa. Virhe liittyy siihen.


files.pfsense.org käyttää kyllä ainakin tällä hetkellä sertifikaattia minkä ketjussa tuota vanhentunutta roottia ei ole.

Tuleeko noita virheitä edelleen vai olisiko jo korjattu?

netgaten foorumilla myös aiheesta:


Viimesin maili tuli muurilta 4. päivä. Joten kait se vielä siellä kummittelee?

Tuolla toisessa linkissä, jotka @user9999 postasi, mainittiin, että poistamalla vanhentunut certti ongelma ratkeaa. Kannattaako tuota tehdä (ja miten jos kannattaa?) vai odottelenko rauhassa Netgatelta fixiä tuohon?
 
Viimesin maili tuli muurilta 4. päivä. Joten kait se vielä siellä kummittelee?

Tuolla toisessa linkissä, jotka @user9999 postasi, mainittiin, että poistamalla vanhentunut certti ongelma ratkeaa. Kannattaako tuota tehdä (ja miten jos kannattaa?) vai odottelenko rauhassa Netgatelta fixiä tuohon?

Netgaten foorumin linkissä mainittu päivä sitten että korjaus on paikallaan files.pfsense.org palvelimella ja odottelee restartia. Voi siis hyvin olla että korjattu jo ja siksi viimeisin virhe toissapäivältä. Eipä tuota vanhaa serttiä tosiaan chainissä enää ole.

Seurailisin tuleeko virhettä enää ennen toimenpiteitä. Eipä sillä vanhalla sertillä toki mitään enää tee jos se jostain truststoresta vielä löytyy.
 
Netgaten foorumin linkissä mainittu päivä sitten että korjaus on paikallaan files.pfsense.org palvelimella ja odottelee restartia. Voi siis hyvin olla että korjattu jo ja siksi viimeisin virhe toissapäivältä. Eipä tuota vanhaa serttiä tosiaan chainissä enää ole.

Seurailisin tuleeko virhettä enää ennen toimenpiteitä. Eipä sillä vanhalla sertillä toki mitään enää tee jos se jostain truststoresta vielä löytyy.

Asia pihvi. Katsellaan, että mitä tuleman pitää. Minä kiitän :tup:!
 
Ainakin pfSense 2.4.5:ssä toimii ihan hyvin: curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt

Jos päivämäärän laittaa liian paljon eteenpäin, lakkaa toimimasta: date 202008301237

Itelläkin toi vaikuttaa toimivan ok kun otan SSH:lla yhteyden muuriin ja suoritan tuon komennon curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt:
Koodi:
[2.4.5-RELEASE][admin@pfSense.*.*]/root: curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 20581  100 20581    0     0  16557      0  0:00:01  0:00:01 --:--:-- 16557

Muuri on siis myös 2.4.5-versio.
 
Mitä siellä Cron:issa on: crontab -l
Mitä skripteissä on jos tuo listaa jotain muuta kuin pelkkiä komentoja?
 
Mitä siellä Cron:issa on: crontab -l
Mitä skripteissä on jos tuo listaa jotain muuta kuin pelkkiä komentoja?

Koodi:
[2.4.5-RELEASE][admin@pfSense.*.*]/: crontab -l
crontab: no crontab for root

Koodi:
[2.4.5-RELEASE][admin@pfSense.*.*]/: crontab -l -u admin
crontab: no crontab for admin

Minkä tunnuksen alla noi pitäis olla?

[edit]
Koodi:
# /etc/crontab - root's crontab for FreeBSD
#
# $FreeBSD$
#
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin
#
#minute hour    mday    month   wday    who     command
#
#*/5    *       *       *       *       root    /usr/libexec/atrun
#
# Save some entropy so that /dev/random can re-seed on boot.
#*/11   *       *       *       *       operator /usr/libexec/save-entropy
#
# Rotate log files every hour, if necessary.
#0      *       *       *       *       root    newsyslog
#
# Perform daily/weekly/monthly maintenance.
#1      3       *       *       *       root    periodic daily
#15     4       *       *       6       root    periodic weekly
#30     5       1       *       *       root    periodic monthly
#
# Adjust the time zone if the CMOS clock keeps local time, as opposed to
# UTC time.  See adjkerntz(8) for details.
#1,31   0-5     *       *       *       root    adjkerntz -a
#
# pfSense specific crontab entries
# Created: June 6, 2020, 11:08 am
#

1,31    0-5     *       *       *       root    /usr/bin/nice -n20 adjkerntz -a
1       3       *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_bogons.sh
1       1       *       *       *       root    /usr/bin/nice -n20 /etc/rc.dyndns.update
*/60    *       *       *       *       root    /usr/bin/nice -n20 /usr/local/sbin/expiretable -v -t 3600 virusprot
30      12      *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_urltables
1       0       *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_pkg_metadata
0       8       4-10    *       *       root    /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php dcc >> /var/log                                                                                                          /pfblockerng/extras.log 2>&1
0       0,4,8,12,16,20  *       *       *       root    /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php cron >>                                                                                                           /var/log/pfblockerng/pfblockerng.log 2>&1
#
# If possible do not add items to this file manually.
# If done so, this file must be terminated with a blank line (e.g. new line)
#
 
Tästä päätellen rootin:
Koodi:
X-Cron-Env: <HOME=/root>\
Näyttääkö Cron-paketti jotain jobeja ja jos/kun, niin mitä ne tekevät? Kyllähän tuo logi viittaa Croniin

Muokkasin edelliseen vastaukseen tiedoston /etc/crontab sisällön.

[edit] Tuon pfSensen rootti certti näyttäs olevan kunnossa, jos nyt katoin oikein:
[2.4.5-RELEASE][admin@pfSense.*.*]/usr/local/share/certs: less ca-root-nss.crt

Koodi:
##
##  ca-root-nss.crt -- Bundle of CA Root Certificates
##
##  This is a bundle of X.509 certificates of public Certificate
##  Authorities (CA). These were automatically extracted from Mozilla's
##  root CA list (the file `certdata.txt').
##
##  Extracted from nss-3.51
##  with $FreeBSD$
##
##  Untrusted certificates omitted from this bundle: 2

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5d:93:8d:30:67:36:c8:06:1d:1a:c7:54:84:69:07
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=ES, O=FNMT-RCM, OU=AC RAIZ FNMT-RCM
        Validity
            Not Before: Oct 29 15:59:56 2008 GMT
            Not After : Jan  1 00:00:00 2030 GMT

[2.4.5-RELEASE][admin@pfSense.*.*]/usr/local/share/certs: grep -i "Not After " ca-root-nss.crt
Koodi:
            Not After : Jan  1 00:00:00 2030 GMT
            Not After : Dec 31 09:37:37 2030 GMT
            Not After : Sep 22 11:22:02 2030 GMT
            Not After : May 30 10:48:38 2020 GMT
            Not After : May 30 10:38:31 2020 GMT
            Not After : Dec 31 14:06:06 2030 GMT
            Not After : Dec 31 14:08:24 2030 GMT
            Not After : Dec 31 14:10:36 2040 GMT
            Not After : Dec 31 14:20:24 2040 GMT
            Not After : Jan 17 00:00:00 2038 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : Dec 31 23:59:59 2030 GMT
            Not After : Dec 31 08:38:15 2030 GMT
            Not After : May 12 23:59:00 2025 GMT
            Not After : Oct 26 08:38:03 2040 GMT
            Not After : Oct 26 08:28:58 2040 GMT
            Not After : Jul 19 09:15:30 2042 GMT
            Not After : Sep 30 16:13:44 2037 GMT
            Not After : Sep 30 16:14:18 2037 GMT
            Not After : Jun 29 15:13:05 2027 GMT
            Not After : Oct  1 08:32:27 2033 GMT
            Not After : Jul  4 17:20:04 2031 GMT
            Not After : Jun 11 10:46:39 2027 GMT
            Not After : Dec 31 12:07:37 2029 GMT
            Not After : Oct  6 08:39:56 2046 GMT
            Not After : Dec 31 03:07:01 2029 GMT
            Not After : Jul 31 12:29:50 2038 GMT
            Not After : Dec 31 23:59:59 2028 GMT
            Not After : Dec 31 23:59:59 2029 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec 15 08:00:00 2021 GMT
            Not After : Sep 20 08:25:51 2028 GMT
            Not After : Nov  5 08:35:58 2029 GMT
            Not After : Nov  5 08:50:46 2029 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Sep 30 14:01:15 2021 GMT
            Not After : Mar  3 12:09:48 2023 GMT
            Not After : Jan  7 22:59:59 2031 GMT
            Not After : Dec 17 23:59:59 2030 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Nov 27 20:53:42 2026 GMT
            Not After : Dec 18 15:55:36 2037 GMT
            Not After : Dec  7 17:55:54 2030 GMT
            Not After : Dec 27 11:41:16 2037 GMT
            Not After : Jul 24 14:15:12 2029 GMT
            Not After : Dec 20 02:31:27 2034 GMT
            Not After : Dec 31 15:59:59 2040 GMT
            Not After : May 21 04:00:00 2022 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Mar  4 05:00:00 2029 GMT
            Not After : Mar  4 05:00:00 2029 GMT
            Not After : Jul 31 12:31:40 2038 GMT
            Not After : Jan 19 03:14:07 2038 GMT
            Not After : Jan 19 03:14:07 2038 GMT
            Not After : Jan 28 12:00:00 2028 GMT
            Not After : Dec 15 08:00:00 2021 GMT
            Not After : Mar 18 10:00:00 2029 GMT
            Not After : Dec 10 00:00:00 2034 GMT
            Not After : Jun 29 17:06:20 2034 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 30 10:37:12 2040 GMT
            Not After : Dec  1 13:49:52 2031 GMT
            Not After : Jun 30 10:11:21 2040 GMT
            Not After : May 15 04:52:29 2023 GMT
            Not After : Jun  3 02:29:46 2042 GMT
            Not After : Jan 16 18:12:23 2034 GMT
            Not After : Jan 16 17:53:32 2034 GMT
            Not After : Jun  4 11:04:38 2035 GMT
            Not After : Dec 13 08:27:25 2037 GMT
            Not After : Mar  5 13:21:57 2035 GMT
            Not After : Dec 30 11:30:18 2029 GMT
            Not After : Dec  6 15:08:21 2028 GMT
            Not After : Dec 31 23:59:59 2029 GMT
            Not After : Dec 11 16:09:51 2037 GMT
            Not After : Dec  1 15:10:31 2039 GMT
            Not After : May  9 09:58:33 2042 GMT
            Not After : Mar 17 18:33:33 2021 GMT
            Not After : Jan 12 17:27:44 2042 GMT
            Not After : Nov 24 18:23:33 2031 GMT
            Not After : Jan 12 18:59:32 2042 GMT
            Not After : Nov 24 19:06:44 2031 GMT
            Not After : Jan 12 20:26:32 2042 GMT
            Not After : Dec 31 19:52:06 2029 GMT
            Not After : Apr  8 04:56:47 2029 GMT
            Not After : Dec 31 19:40:55 2029 GMT
            Not After : Sep 30 04:20:49 2023 GMT
            Not After : May 29 05:00:39 2029 GMT
            Not After : Apr  6 07:29:40 2021 GMT
            Not After : Feb 12 18:15:23 2041 GMT
            Not After : May 30 18:14:37 2042 GMT
            Not After : Feb 12 18:14:03 2041 GMT
            Not After : Feb 12 17:39:39 2041 GMT
            Not After : Dec  8 11:10:28 2022 GMT
            Not After : Mar 25 11:03:10 2020 GMT
            Not After : Nov 13 23:00:00 2028 GMT
            Not After : Jun 29 17:39:16 2034 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Oct 25 08:30:35 2036 GMT
            Not After : Oct 25 08:36:00 2036 GMT
            Not After : Oct 25 08:32:46 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Oct 19 07:43:30 2035 GMT
            Not After : Oct  1 23:59:59 2033 GMT
            Not After : Oct  1 23:59:59 2033 GMT
            Not After : Dec  5 13:23:33 2032 GMT
            Not After : Oct 18 12:00:50 2032 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Dec 31 17:28:07 2029 GMT
            Not After : Dec 31 17:23:16 2029 GMT
            Not After : Dec 31 17:26:39 2034 GMT
            Not After : Jan 21 11:36:54 2024 GMT
            Not After : Oct 25 08:25:55 2043 GMT
            Not After : Dec 31 15:59:59 2030 GMT
            Not After : Dec 31 15:59:59 2030 GMT
            Not After : Dec 31 00:00:00 2038 GMT
            Not After : Dec 31 00:00:00 2040 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Jan  1 05:37:19 2035 GMT
 
Viimeksi muokattu:
Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:
Koodi:
X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...
Onkohan niillä tuo sertifikaatti ketju jotenkin rikki eli ongelma intermediate sertifikaatissa :hmm:

Untitled.png

Edit: Kunnossa tuo näyttäisi olevan kun selaimella tarkistaa.

Untitled 2.png

Sitten niillä on tuolle files.pfsense.org osoitteelle kaksi ip:tä niin tuo 162.208.119.41 ei vastaa ollenkaan.

Untitled 3.png

Tuo SSL Checker yrittää välillä tuohon 162.208.119.41 osoitteeseen ja tietysti sekin epäonnistuu.

Untitled.png
 
Viimeksi muokattu:
Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n :D
Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.
Kommenttia tähän vanhaan IPSec VPN-On-Demand (VoD) juttuun. IOS käyttiksessä oli haavoittuvuus tuossa VPN jutussa.

Eli löytyi syy, miksi Apple Music ei häiriintynyt tuosta, että WLAN tippuu ja VPN nousee ylös :)
Tuo haavoittuvuus on korjattu iOS 13.5 versiossa niin nyt tuossa Apple Music on ihan selkeä sekunnin katkos kun WLAN tippuu ja VPN nousee ylös. Onneksi tuo osaa jatkaa musiikkia niin ei tarvitse tehdä mitään.
 
Pfsense 2.4.5-p1 valmis.


 
Viimeksi muokattu:
Eivät korjanneet kaikkia reikiä. Aika uusia nuo ovat.

Fetching vuln.xml.bz2: .......... done
python37-3.7.7 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

python37-3.7.7 is vulnerable:
Python -- CRLF injection via the host part of the url passed to urlopen()
CVE: CVE-2019-18348
WWW: VuXML: Python -- CRLF injection via the host part of the url passed to urlopen()

libnghttp2-1.40.0 is vulnerable:
nghttp2 -- DoS vulnerability
CVE: CVE-2020-11080
WWW: VuXML: nghttp2 -- DoS vulnerability

3 problem(s) in 2 installed package(s) found.


Added support for Intel iwm(4) wireless cards (client mode only)
Jun 10 07:56:04kerneliwm0: <Intel(R) Dual Band Wireless AC 8265> mem 0xdf000000-0xdf001fff irq 16 at device 0.0 on pci2

Untitled.png
 
Viimeksi muokattu:
Mistähän voisi johtua se, että jos reboottaan pfsensen, niin yhteys nettiin ei muodostu ennenkuin käyn buuttaamassa myös tuon Telian valokuitumuuntimen ? Sinänsä harmiton ominaisuus, mutta kun tuota telian purkkia ei voi ns. etänä boottailla, niin joutuu aina käymään tuolla varastossa missä se on. Ja toki silloin aika paha ominaisuus, jos jostain syystä tätytyy etänä (kodin ulkopuolelta) buuttailla pfsense tai tekee sen vaikka epähuomiossa.

Ihan varma en ole, mutta mielestäni tämä ominaisuus on tullut vasta 2.4.5:n mukana.
 
Mistähän voisi johtua se, että jos reboottaan pfsensen, niin yhteys nettiin ei muodostu ennenkuin käyn buuttaamassa myös tuon Telian valokuitumuuntimen ? Sinänsä harmiton ominaisuus, mutta kun tuota telian purkkia ei voi ns. etänä boottailla, niin joutuu aina käymään tuolla varastossa missä se on. Ja toki silloin aika paha ominaisuus, jos jostain syystä tätytyy etänä (kodin ulkopuolelta) buuttailla pfsense tai tekee sen vaikka epähuomiossa.

Ihan varma en ole, mutta mielestäni tämä ominaisuus on tullut vasta 2.4.5:n mukana.
Jääkö se pfSensen WAN interface offline tilaan tai nouseeko se ylös, mutta ei saa ip:tä.?
 
1591866614426.png

IP:tä ei saa ja näköjään tuo Renew nappi auttaa tilanteeseen. Miksiköhän se ei tee sitä automatic ?
Olisinkohan tötöillyt jonkin asetuksen. :)

Onko tuossa joku ikivanha kaapeli modeemin ja pfsensen välissä vai miksi "100baseTX"?
Seuraavaksi tarkistat että IPv4 Config type on DHCP:llä eikä staattisella. (Olettaen että modeemisi tarjoilee IPv4-osoitteen)
Kannattaa myös tarkistaa Interfaces --> WAN että siellä on " Speed and Duplex " autoselectillä, koska tuo on joskus aiheuttanut joillain verkkokorteilla ongelmia.
 
1591866614426.png

IP:tä ei saa ja näköjään tuo Renew nappi auttaa tilanteeseen. Miksiköhän se ei tee sitä automatic ?
Olisinkohan tötöillyt jonkin asetuksen. :)
Onko WAN DHCP valittuna?

Untitled.png

Status --> System logs voi tarkistaa nuo General, Gateway ja DHCP logit jos siellä näkyisi jotain.
 
Onko tuossa joku ikivanha kaapeli modeemin ja pfsensen välissä vai miksi "100baseTX"?
Tätä rupesin itsekin ihmettelemään. Kävin irroittelemassa kaapelin molemmista päistä ja laitoin takaisin. Tämän jälkeen se tunnisti 1000baseT <full duplex>:in ja bootin jälkeen löysi IP:n normaalisti ilman että piti kuitumuunninta boottailla. :)
Thänks!
 
Itseasiassa tuossa jokin aikaa sitten ihmettelinkin, miksi speedtestin tulokset putosivat jostain 105-108 tuloksista jonnekkin 90 paikkeillei..
Luulin vain, että Telia oli vaihteluvälin salliessa pudottanut kaistaa alkuhuuman jälkeen. Meinasin jopa tehdä vikailmoituksen, että miksi tällainen pudotus ? hih.. ja yllättäen omissa laitteissa vika.. :facepalm:
 
Kokeile laittaa portti autosensestä kiinteäksi. Gigasten porttien tunnistus ei aina toimi.
 
Kokeile laittaa portti autosensestä kiinteäksi. Gigasten porttien tunnistus ei aina toimi.
Ei kyllä se vika oli jossain "johtojen" asennossa tmjs. Koska ensin kokeilen pakottaa tuota gigaista, mutta ei toiminut.
Sitten kun räpelsin johdot, niin tunnisti tuolla auto asennolla ihan kunnolla.

Edit: ja on intelin kortit näissä APU:ssa
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
259 044
Viestejä
4 499 845
Jäsenet
74 324
Uusin jäsen
CapitateSnafu

Hinta.fi

Back
Ylös Bottom