Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[maninthemoon]

kyllä juuri sinne domainin dns A recordiin ip osoite mihin haluat liikenteen ohjautuvan, mikäli ei ole kiinteä ip niin kannattaa katsoa joku skripti joka päivittää tuon dns recordin jos ip muuttuu.

Tuollain sen laitoinkin, mutta ei vain tule mitään Cached IP kohtaan. Kyseessä on siis Domainhotelli - Halvin .fi domain eli verkkotunnus 9 euroa / vuosi. Myös nopea Wordpress webhotelli. missä yritän tuota laittaa ja pfsensen listalta laitoin sellaisen tarjoajan (Service), kuin "SelfHost". Onkohan noilla kuinka paljon merkitystä, että minkä laitta, kun luonnollisesti domainhotellia ei listalta löydy. Laitoin myös kirjautumis asetuksiin domainhotellin kirjautumistiedot.

 

[Sakkez]

Domainhotellissa domainiin kuuluu myös dns-palvelu jolla saa liikenteen ohjattua pfsenselle.

 

[maninthemoon]

Menin jo hiukan sekaisin... Pitäisikö tuo siis tehdä DNS-asetuksiin A recordina vai Ohjaukset asetuksen alta? Kyllähän tuo A record toimii muuten, mutta ei pfsensen ddns:än kanssa. Eli jos laittaa A recordina, niin silloin vaatinee porttiohjauksen muurille ulos päin? Se ei kuitenkaan ollut se idea vaan testata tuota ddns palvelua pfsensessä.

Ilmeisesti tuo ohjauskaan ei ole sitä mitä haen tässä tapauksessa.

domainhotellista lainattu:
"Uudelleenohjauksen avulla voit ohjata domainin toiseen osoitteeseen, joko verkkosivustolle tai tietylle verkkosivulle. Voit esimerkiksi luoda uudelleenohjauksen siten, että kävijät ohjautuvat osoitteesta www.esimerkki.com automaattisesti osoitteeseen www.esimerkki.fi. "


Edit: Testasin vielä tuolla No-IP, niin se toimi moitteetta siinöä mielessä, että yhdisti. En ole vielä hirveästi aiheeseen tutustunut tämän kanssa, niin tarvitseeko tuo vielä kuitenkin porttiohjauksen, että pääsee ulkoa käsiksi?
Kummassakin tapauksessa pääsee sisäverkosta muuriin kiinni noilla tehdyillä nimillä (domainhotellissa ja No-IP:ssä), mutta ei ulkoverkosta.

 

[A Lake Elk]

Menin j ohiukan sekaisin... Pitäisikö tuo siis tehdä DNS-asetuksiin A recordina vai Ohjaukset asetuksen alta? Kyllähän tuo A record toimii muuten, mutta ei pfsensen ddns:än kanssa. Eli jos laittaa A recordina, niin silloin vaatinee porttiohjauksen muurille ulos päin? Se ei kuitenkaan ollut se idea vaan testata tuota ddns palvelua pfsensessä.

Ilmeisesti tuo ohjauskaan ei ole sitä mitä haen tässä tapauksessa.

domainhotellista lainattu:
"Uudelleenohjauksen avulla voit ohjata domainin toiseen osoitteeseen, joko verkkosivustolle tai tietylle verkkosivulle. Voit esimerkiksi luoda uudelleenohjauksen siten, että kävijät ohjautuvat osoitteesta www.esimerkki.com automaattisesti osoitteeseen www.esimerkki.fi. "

Domainhotelli ei taida tukea mitään ddns-protokollaa. Itse vaihdoin Hostingpalvelusta hankitun domainin dns-palvelimiksi Cluodflaren palvelimet, jotka tukee ddnssää ja sille löytyy toimiva clientti pfSensestä.

 

[maninthemoon]

Varmaan just näin. Sen verran tuo toimii domainhotellilla esim. että kun lisää noi tiedot ddns palveluun, niin pfsense ei anna virhettä. Ilman tuota tulee seuraava virhe. Jos siis haluaisin pitää tuon ulkoverkkoon auki, niin tarvinnee sen porttiohjauksen. En tosin halua, vaan teen kaikki VPN yli, mutta halusin testailla näitä.

Tämä siis sisäverkossa, kun en ole vielä kerinnyt testaamaan porttiohjauksen kanssa.

Edit: testi tehty porttiohjauksen kanssa ja toimii myös ulkoverkosta.

 

[sra2010]

Easylist ei päivity enää pfBlockerNG mukaan. Onko muilla sama vika?

Seuraava virheilmoitus tulee päivityksen yhteydessä:

[ EasyPrivacy ] Downloading update [ 05/31/20 20:30:15 ] . cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...

 

[user9999]

Easylist ei päivity enää pfBlockerNG mukaan. Onko muilla sama vika?

Seuraava virheilmoitus tulee päivityksen yhteydessä:

[ EasyPrivacy ] Downloading update [ 05/31/20 20:30:15 ] . cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...

Samaa ongelmaa.

Reddit - Dive into anything

www.reddit.com

 

[user9999]

Shuttle Slim DS77U versioon taas uutta BIOS päivitystä. Intelin reikiä.

DS77UE00.114
Release Date: 2020/04/06 Checksum: 46F0
1.Update ME for intel security.

Shuttle Global - DS77U SERIES

Ei yhtään huvittais päivittää kun päivityskuvio jeesuksen aikainen

 

[dot1q]

Ei suinkaan disketti + dos tavaraa? Se olis kyllä ihan juuttaan vanha..

 

[user9999]

Ei suinkaan disketti + dos tavaraa? Se olis kyllä ihan juuttaan vanha..

USB tikulta päivitys.

Shuttle Global || Common FAQ

 

[mikajh]

Ei yhtään huvittais päivittää kun päivityskuvio jeesuksen aikainen

Ja ilmeisesti jos olisi CPU ilman kyljessä olevaa ME:tä, niin ei olisi usein reikiäkään tarvis paikkailla

 

[samim]

Pfsense 2.4.5-p1:n julkaisu lähenee. 5/76 issueta vielä työn alla.

2.4.5-p1 - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

 

[escalibur]

Shuttle Slim DS77U versioon taas uutta BIOS päivitystä. Intelin reikiä.

DS77UE00.114
Release Date: 2020/04/06 Checksum: 46F0
1.Update ME for intel security.

Shuttle Global - DS77U SERIES

Ei yhtään huvittais päivittää kun päivityskuvio jeesuksen aikainen

Hah DS68U ei saanut päivitystä. Lieneekö jo kupattu?

Eipä noita Intelin reikiä kannata hirveästi tuskailla. Niistä uutisoidaan vaikka mitä mutta edelleen ne konkreettiset murrot loistavat poissaoloaan.

 

[user9999]

Hah DS68U ei saanut päivitystä. Lieneekö jo kupattu?

Eipä noita Intelin reikiä kannata hirveästi tuskailla. Niistä uutisoidaan vaikka mitä mutta edelleen ne konkreettiset murrot loistavat poissaoloaan.

Juu voi olla, että vanhat Slim versiot tippuu tuen piiristä. Seuraavana on oma laite vuorossa.
Tuli päivitettyä tuo bios.

Edit: Huonosti Amazonilla tuota uutta mallia.

Shuttle DS10U CEL FANLESS 65W CEL-4205U, 2XD4, HDMI, VGA, DP, 4XUSB3, 4XUSB2, 2LAN: Amazon.de: Computer & Zubehör

Shuttle DS10U CEL FANLESS 65W CEL-4205U, 2XD4, HDMI, VGA, DP, 4XUSB3, 4XUSB2, 2LAN - Kostenloser Versand ab 29€. Jetzt bei Amazon.de bestellen!

www.amazon.de

Jimmsiltä kait saa.

Shuttle XPC slim DS10U, MiniPC -barebone, musta - 369,00€

HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää. Tekniset tiedot : Form Factor : Shuttle 1.3L -kotelo Prosessori :

www.jimms.fi

 

[heebo1974]

En tiedä liittyykö samaan ongelmaan kuin tuossa muutama viesti aiemmin, ettei pfBlockerNG päivity. Itselläni siis asetukset laitettu niiden Excaliburin ohjeiden mukaan (jotain listoja jättelin pois) ja sen jälkeen en ole pahemmin koko blockkeria seuraillut aktiivisesti. No nyt huomasin, että aika huonosti tuntuu päivittyvän. Eli noi PRI listat ovat päivittyneet viimeksi yli kuukausi sitten. Ja näyttäisi että cryptojackkeritkin ovat lopettaneet päivittymisen.

Jos ajaa updaten, niin sen antaa tällaisen login:

 UPDATE PROCESS START [ 06/05/20 10:40:30 ]

===[  DNSBL Process  ]================================================

 Loading DNSBL Statistics... completed
 Loading DNSBL SafeSearch...  disabled
 Loading DNSBL Whitelist... completed
 Loading TOP1M Whitelist... completed

[ D_Me_Malv ]             exists.
[ MDL ]                 exists.
[ CoinBlocker_All ]         exists.
[ NoCoin ]             exists.
Saving DNSBL database... completed


===[  GeoIP Process  ]============================================


===[  IPv4 Process  ]=================================================

[ Abuse_IPBL_v4 ]         exists. [ 06/05/20 10:40:31 ]
[ CINS_army_v4 ]         exists.
[ ET_Block_v4 ]             exists.
[ ISC_Block_v4 ]         exists.
[ Talos_BL_v4 ]             exists.
[ Alienvault_v4 ]         exists.
[ BlockListDe_All_v4 ]         exists.
[ MDL_v4 ]             exists.
[ BDS_Ban_v4 ]             exists.
[ MalC0de_v4 ]             exists.
[ Whitelist_custom_v4 ]         exists.
[ DNSBLIP_v4 ]             Downloading update .
[ DNSBLIP_v4 ] file_get_contents(/var/db/pfblockerng/DNSBLIP_v4.txt): failed to open stream: No such file or directory


 [ pfB_DNSBLIP_v4 - DNSBLIP_v4 ] Download FAIL
   Local File Failure


The Following List has been REMOVED [ DNSBLIP_v4 ]


===[  Aliastables / Rules  ]==========================================

No changes to Firewall rules, skipping Filter Reload
No Changes to Aliases, Skipping pfctl Update

===[  Kill States  ]==================================================

Firewall state(s) validation for [ 55 ] IPv4 address(es)...
Firewall state(s) validation for [ 2 ] IPv6 address(es)...
No matching states found

======================================================================

 UPDATE PROCESS ENDED [ 06/05/20 10:40:33 ]

 

[escalibur]

@heebo1974 Kannattaa varmistaa että sulla on riittävästi tilaa NAT-taulukoille. PR-listat sisältävät sen verran paljon rivejä etteivät välttämättä mahdu jos raja on liian pieni. 2M:lla pitäisi toimia:

Laitan tänne päivitystä aiempiin listaamani listoihin, kunhan vain ehdin.

 

[heebo1974]

@heebo1974 Kannattaa varmistaa että sulla on riittävästi tilaa NAT-taulukoille. PR-listat sisältävät sen verran paljon rivejä etteivät välttämättä mahdu jos raja on liian pieni. 2M:lla pitäisi toimia:

Jep tuo taisi olla syynä, koska räpeltelin tuon arvoa silloin kun päivitin pfsensen ja oli jotain ihme lagitusongelmaa. No nyt ei ollut ongelmia vaikka nostin sen tuonne 2M:aan. Ja suostui päivittämään blockerin listat.

 

[escalibur]

Jep tuo taisi olla syynä, koska räpeltelin tuon arvoa silloin kun päivitin pfsensen ja oli jotain ihme lagitusongelmaa. No nyt ei ollut ongelmia vaikka nostin sen tuonne 2M:aan.

Tuon arvon nostaminen samalla haukkaa enemmän RAM-muistia. Ei siis kannata hakat poskettomia lukemia jos RAM:ia on tyyliin 8GB tai vähemmän.

 

[user9999]

Mulla on tuo arvo oletus 800000. Hyvin on toiminut.

 

[heebo1974]

Tuon arvon nostaminen samalla haukkaa enemmän RAM-muistia. Ei siis kannata hakat poskettomia lukemia jos RAM:ia on tyyliin 8GB tai vähemmän.

No mulla on toi PC Enginen APU2 ja vain 2GB muistia.. Mutta näyttää se ihan hyvin riittävän.

 

[A Lake Elk]

Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:

X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...

 

[mikajh]

Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle

Joku plugin, joka käyttää omatekoista TLS-sertifikaattia yrittäessään monitoroida HTTPS-liikennettä?

 

[dome]

AddTrust root sertifikaatti vanheni viime kuun lopussa. Virhe liittyy siihen.

AddTrust External CA Root Expired May 30, 2020 - SSL.com

The AddTrust External CA root certificate expired on May 30, 2020. Replacement intermediate and root certs are available for affected SSL.com customers.

www.ssl.com

files.pfsense.org käyttää kyllä ainakin tällä hetkellä sertifikaattia minkä ketjussa tuota vanhentunutta roottia ei ole.

Tuleeko noita virheitä edelleen vai olisiko jo korjattu?

netgaten foorumilla myös aiheesta:

files.pfsense.org still returning an expired AddTrust intermediate certificate?

I saw this thread about AddTrust External CA Root certificate has expired! but I did not and do not have that problem. However this morning the /etc/rc.updat...

forum.netgate.com

 

[user9999]

Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:

X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...

Jotain tuosta:

Unable to Download Available Package List - Cert Expired?

Tried from GUI, no dice. Trying from command line: [2.4.5-RELEASE][root@XXXXX.XXX]/root: pkg update Updating pfSense-core repository catalogue... Certificate...

forum.netgate.com

AddTrust External CA Root certificate has expired! Cannot update packages..

@fishbone222 said in AddTrust External CA Root certificate has expired! Cannot update packages..: https://forum.netgate.com/topic/154033/unable-to-download-...

forum.netgate.com

 

[A Lake Elk]

Joku plugin, joka käyttää omatekoista TLS-sertifikaattia yrittäessään monitoroida HTTPS-liikennettä?

Unohtu laittaa sen mailin otsikko mukaan:

Arpwatch Notification : Cron <root@pfSense> /usr/bin/nice -n20 /etc/rc.update_bogons.sh

Asennettuna on seuraavat plugarit:

• acme
• arpwatch
• Cron
• openvpn-client-export
• pfBlockerNG-devel

Eli oisko se toi Arpwatch tuon otsikon mukaan?

pfSensen certtimanagerissa ei näy mitään ylimääräistä. Ainoastaan Lets Encryptin voimassa oleva certti ja OpenVPN:n certit, jotka on myös voimassa.

 

[A Lake Elk]

AddTrust root sertifikaatti vanheni viime kuun lopussa. Virhe liittyy siihen.

AddTrust External CA Root Expired May 30, 2020 - SSL.com

The AddTrust External CA root certificate expired on May 30, 2020. Replacement intermediate and root certs are available for affected SSL.com customers.

www.ssl.com

files.pfsense.org käyttää kyllä ainakin tällä hetkellä sertifikaattia minkä ketjussa tuota vanhentunutta roottia ei ole.

Tuleeko noita virheitä edelleen vai olisiko jo korjattu?

netgaten foorumilla myös aiheesta:

files.pfsense.org still returning an expired AddTrust intermediate certificate?

I saw this thread about AddTrust External CA Root certificate has expired! but I did not and do not have that problem. However this morning the /etc/rc.updat...

forum.netgate.com

Viimesin maili tuli muurilta 4. päivä. Joten kait se vielä siellä kummittelee?

Tuolla toisessa linkissä, jotka @user9999 postasi, mainittiin, että poistamalla vanhentunut certti ongelma ratkeaa. Kannattaako tuota tehdä (ja miten jos kannattaa?) vai odottelenko rauhassa Netgatelta fixiä tuohon?

 

[dome]

Viimesin maili tuli muurilta 4. päivä. Joten kait se vielä siellä kummittelee?

Tuolla toisessa linkissä, jotka @user9999 postasi, mainittiin, että poistamalla vanhentunut certti ongelma ratkeaa. Kannattaako tuota tehdä (ja miten jos kannattaa?) vai odottelenko rauhassa Netgatelta fixiä tuohon?

Netgaten foorumin linkissä mainittu päivä sitten että korjaus on paikallaan files.pfsense.org palvelimella ja odottelee restartia. Voi siis hyvin olla että korjattu jo ja siksi viimeisin virhe toissapäivältä. Eipä tuota vanhaa serttiä tosiaan chainissä enää ole.

Seurailisin tuleeko virhettä enää ennen toimenpiteitä. Eipä sillä vanhalla sertillä toki mitään enää tee jos se jostain truststoresta vielä löytyy.

 

[A Lake Elk]

Netgaten foorumin linkissä mainittu päivä sitten että korjaus on paikallaan files.pfsense.org palvelimella ja odottelee restartia. Voi siis hyvin olla että korjattu jo ja siksi viimeisin virhe toissapäivältä. Eipä tuota vanhaa serttiä tosiaan chainissä enää ole.

Seurailisin tuleeko virhettä enää ennen toimenpiteitä. Eipä sillä vanhalla sertillä toki mitään enää tee jos se jostain truststoresta vielä löytyy.

Asia pihvi. Katsellaan, että mitä tuleman pitää. Minä kiitän !

 

[mikajh]

Ainakin pfSense 2.4.5:ssä toimii ihan hyvin: curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt

Jos päivämäärän laittaa liian paljon eteenpäin, lakkaa toimimasta: date 202008301237

 

[A Lake Elk]

Tuli taas mailia muurilta ja samaa erroria ilmoittaa.

 

[A Lake Elk]

Ainakin pfSense 2.4.5:ssä toimii ihan hyvin: curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt

Jos päivämäärän laittaa liian paljon eteenpäin, lakkaa toimimasta: date 202008301237

Itelläkin toi vaikuttaa toimivan ok kun otan SSH:lla yhteyden muuriin ja suoritan tuon komennon curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt:

[2.4.5-RELEASE][admin@pfSense.*.*]/root: curl -L -o dummy.txt https://files.pfsense.org/lists/fullbogons-ipv4.txt
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 20581  100 20581    0     0  16557      0  0:00:01  0:00:01 --:--:-- 16557

Muuri on siis myös 2.4.5-versio.

 

[mikajh]

Mitä siellä Cron:issa on: crontab -l
Mitä skripteissä on jos tuo listaa jotain muuta kuin pelkkiä komentoja?

 

[A Lake Elk]

Mitä siellä Cron:issa on: crontab -l
Mitä skripteissä on jos tuo listaa jotain muuta kuin pelkkiä komentoja?

[2.4.5-RELEASE][admin@pfSense.*.*]/: crontab -l
crontab: no crontab for root

[2.4.5-RELEASE][admin@pfSense.*.*]/: crontab -l -u admin
crontab: no crontab for admin

Minkä tunnuksen alla noi pitäis olla?

[edit]

# /etc/crontab - root's crontab for FreeBSD
#
# $FreeBSD$
#
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin
#
#minute hour    mday    month   wday    who     command
#
#*/5    *       *       *       *       root    /usr/libexec/atrun
#
# Save some entropy so that /dev/random can re-seed on boot.
#*/11   *       *       *       *       operator /usr/libexec/save-entropy
#
# Rotate log files every hour, if necessary.
#0      *       *       *       *       root    newsyslog
#
# Perform daily/weekly/monthly maintenance.
#1      3       *       *       *       root    periodic daily
#15     4       *       *       6       root    periodic weekly
#30     5       1       *       *       root    periodic monthly
#
# Adjust the time zone if the CMOS clock keeps local time, as opposed to
# UTC time.  See adjkerntz(8) for details.
#1,31   0-5     *       *       *       root    adjkerntz -a
#
# pfSense specific crontab entries
# Created: June 6, 2020, 11:08 am
#

1,31    0-5     *       *       *       root    /usr/bin/nice -n20 adjkerntz -a
1       3       *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_bogons.sh
1       1       *       *       *       root    /usr/bin/nice -n20 /etc/rc.dyndns.update
*/60    *       *       *       *       root    /usr/bin/nice -n20 /usr/local/sbin/expiretable -v -t 3600 virusprot
30      12      *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_urltables
1       0       *       *       *       root    /usr/bin/nice -n20 /etc/rc.update_pkg_metadata
0       8       4-10    *       *       root    /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php dcc >> /var/log                                                                                                          /pfblockerng/extras.log 2>&1
0       0,4,8,12,16,20  *       *       *       root    /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php cron >>                                                                                                           /var/log/pfblockerng/pfblockerng.log 2>&1
#
# If possible do not add items to this file manually.
# If done so, this file must be terminated with a blank line (e.g. new line)
#

 

[mikajh]

Minkä tunnuksen alla noi pitäis olla?

Tästä päätellen rootin:

X-Cron-Env: <HOME=/root>\

Näyttääkö Cron-paketti jotain jobeja ja jos/kun, niin mitä ne tekevät? Kyllähän tuo logi viittaa Croniin

 

[A Lake Elk]

Tästä päätellen rootin:

X-Cron-Env: <HOME=/root>\

Näyttääkö Cron-paketti jotain jobeja ja jos/kun, niin mitä ne tekevät? Kyllähän tuo logi viittaa Croniin

Muokkasin edelliseen vastaukseen tiedoston /etc/crontab sisällön.

[edit] Tuon pfSensen rootti certti näyttäs olevan kunnossa, jos nyt katoin oikein:
[2.4.5-RELEASE][admin@pfSense.*.*]/usr/local/share/certs: less ca-root-nss.crt

##
##  ca-root-nss.crt -- Bundle of CA Root Certificates
##
##  This is a bundle of X.509 certificates of public Certificate
##  Authorities (CA). These were automatically extracted from Mozilla's
##  root CA list (the file `certdata.txt').
##
##  Extracted from nss-3.51
##  with $FreeBSD$
##
##  Untrusted certificates omitted from this bundle: 2

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5d:93:8d:30:67:36:c8:06:1d:1a:c7:54:84:69:07
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=ES, O=FNMT-RCM, OU=AC RAIZ FNMT-RCM
        Validity
            Not Before: Oct 29 15:59:56 2008 GMT
            Not After : Jan  1 00:00:00 2030 GMT

[2.4.5-RELEASE][admin@pfSense.*.*]/usr/local/share/certs: grep -i "Not After " ca-root-nss.crt

            Not After : Jan  1 00:00:00 2030 GMT
            Not After : Dec 31 09:37:37 2030 GMT
            Not After : Sep 22 11:22:02 2030 GMT
            Not After : May 30 10:48:38 2020 GMT
            Not After : May 30 10:38:31 2020 GMT
            Not After : Dec 31 14:06:06 2030 GMT
            Not After : Dec 31 14:08:24 2030 GMT
            Not After : Dec 31 14:10:36 2040 GMT
            Not After : Dec 31 14:20:24 2040 GMT
            Not After : Jan 17 00:00:00 2038 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : May 26 00:00:00 2040 GMT
            Not After : Dec 31 23:59:59 2030 GMT
            Not After : Dec 31 08:38:15 2030 GMT
            Not After : May 12 23:59:00 2025 GMT
            Not After : Oct 26 08:38:03 2040 GMT
            Not After : Oct 26 08:28:58 2040 GMT
            Not After : Jul 19 09:15:30 2042 GMT
            Not After : Sep 30 16:13:44 2037 GMT
            Not After : Sep 30 16:14:18 2037 GMT
            Not After : Jun 29 15:13:05 2027 GMT
            Not After : Oct  1 08:32:27 2033 GMT
            Not After : Jul  4 17:20:04 2031 GMT
            Not After : Jun 11 10:46:39 2027 GMT
            Not After : Dec 31 12:07:37 2029 GMT
            Not After : Oct  6 08:39:56 2046 GMT
            Not After : Dec 31 03:07:01 2029 GMT
            Not After : Jul 31 12:29:50 2038 GMT
            Not After : Dec 31 23:59:59 2028 GMT
            Not After : Dec 31 23:59:59 2029 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec 15 08:00:00 2021 GMT
            Not After : Sep 20 08:25:51 2028 GMT
            Not After : Nov  5 08:35:58 2029 GMT
            Not After : Nov  5 08:50:46 2029 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Nov 10 00:00:00 2031 GMT
            Not After : Jan 15 12:00:00 2038 GMT
            Not After : Sep 30 14:01:15 2021 GMT
            Not After : Mar  3 12:09:48 2023 GMT
            Not After : Jan  7 22:59:59 2031 GMT
            Not After : Dec 17 23:59:59 2030 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Feb 18 18:30:00 2043 GMT
            Not After : Nov 27 20:53:42 2026 GMT
            Not After : Dec 18 15:55:36 2037 GMT
            Not After : Dec  7 17:55:54 2030 GMT
            Not After : Dec 27 11:41:16 2037 GMT
            Not After : Jul 24 14:15:12 2029 GMT
            Not After : Dec 20 02:31:27 2034 GMT
            Not After : Dec 31 15:59:59 2040 GMT
            Not After : May 21 04:00:00 2022 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Mar  4 05:00:00 2029 GMT
            Not After : Mar  4 05:00:00 2029 GMT
            Not After : Jul 31 12:31:40 2038 GMT
            Not After : Jan 19 03:14:07 2038 GMT
            Not After : Jan 19 03:14:07 2038 GMT
            Not After : Jan 28 12:00:00 2028 GMT
            Not After : Dec 15 08:00:00 2021 GMT
            Not After : Mar 18 10:00:00 2029 GMT
            Not After : Dec 10 00:00:00 2034 GMT
            Not After : Jun 29 17:06:20 2034 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 22 00:00:00 2036 GMT
            Not After : Jun 30 10:37:12 2040 GMT
            Not After : Dec  1 13:49:52 2031 GMT
            Not After : Jun 30 10:11:21 2040 GMT
            Not After : May 15 04:52:29 2023 GMT
            Not After : Jun  3 02:29:46 2042 GMT
            Not After : Jan 16 18:12:23 2034 GMT
            Not After : Jan 16 17:53:32 2034 GMT
            Not After : Jun  4 11:04:38 2035 GMT
            Not After : Dec 13 08:27:25 2037 GMT
            Not After : Mar  5 13:21:57 2035 GMT
            Not After : Dec 30 11:30:18 2029 GMT
            Not After : Dec  6 15:08:21 2028 GMT
            Not After : Dec 31 23:59:59 2029 GMT
            Not After : Dec 11 16:09:51 2037 GMT
            Not After : Dec  1 15:10:31 2039 GMT
            Not After : May  9 09:58:33 2042 GMT
            Not After : Mar 17 18:33:33 2021 GMT
            Not After : Jan 12 17:27:44 2042 GMT
            Not After : Nov 24 18:23:33 2031 GMT
            Not After : Jan 12 18:59:32 2042 GMT
            Not After : Nov 24 19:06:44 2031 GMT
            Not After : Jan 12 20:26:32 2042 GMT
            Not After : Dec 31 19:52:06 2029 GMT
            Not After : Apr  8 04:56:47 2029 GMT
            Not After : Dec 31 19:40:55 2029 GMT
            Not After : Sep 30 04:20:49 2023 GMT
            Not After : May 29 05:00:39 2029 GMT
            Not After : Apr  6 07:29:40 2021 GMT
            Not After : Feb 12 18:15:23 2041 GMT
            Not After : May 30 18:14:37 2042 GMT
            Not After : Feb 12 18:14:03 2041 GMT
            Not After : Feb 12 17:39:39 2041 GMT
            Not After : Dec  8 11:10:28 2022 GMT
            Not After : Mar 25 11:03:10 2020 GMT
            Not After : Nov 13 23:00:00 2028 GMT
            Not After : Jun 29 17:39:16 2034 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Dec 31 23:59:59 2037 GMT
            Not After : Oct 25 08:30:35 2036 GMT
            Not After : Oct 25 08:36:00 2036 GMT
            Not After : Oct 25 08:32:46 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Oct 19 07:43:30 2035 GMT
            Not After : Oct  1 23:59:59 2033 GMT
            Not After : Oct  1 23:59:59 2033 GMT
            Not After : Dec  5 13:23:33 2032 GMT
            Not After : Oct 18 12:00:50 2032 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Dec 31 17:28:07 2029 GMT
            Not After : Dec 31 17:23:16 2029 GMT
            Not After : Dec 31 17:26:39 2034 GMT
            Not After : Jan 21 11:36:54 2024 GMT
            Not After : Oct 25 08:25:55 2043 GMT
            Not After : Dec 31 15:59:59 2030 GMT
            Not After : Dec 31 15:59:59 2030 GMT
            Not After : Dec 31 00:00:00 2038 GMT
            Not After : Dec 31 00:00:00 2040 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Jan 18 23:59:59 2038 GMT
            Not After : Jul 16 23:59:59 2036 GMT
            Not After : Dec  1 23:59:59 2037 GMT
            Not After : Jan  1 05:37:19 2035 GMT

 

[user9999]

Mitähän tää errori merkkaa kun pfSense lähettelee näitä mailitse mulle:

X-Cron-Env: <SHELL=/bin/sh>\
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>\
X-Cron-Env: <HOME=/root>\
X-Cron-Env: <LOGNAME=root>\
X-Cron-Env: <USER=root>\
\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error\
Certificate verification failed for /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root\
34374270280:error:14090086:SSL routines:ssl3*get*server*certificate:certificate verify failed:/build/ce-crossbuild-245/sources/FreeBSD-src/crypto/openssl/ssl/s3*clnt.c:1269:\
fetch: <https://files.pfsense.org/lists/fullbogons-ipv4.txt>: Authentication error

Noita vastaavia rivejä on satoja...

Onkohan niillä tuo sertifikaatti ketju jotenkin rikki eli ongelma intermediate sertifikaatissa

SSL Checker

Verify that your SSL certificate is installed correctly, identify installation issues if any.

decoder.link

Spoileri

Edit: Kunnossa tuo näyttäisi olevan kun selaimella tarkistaa.



Sitten niillä on tuolle files.pfsense.org osoitteelle kaksi ip:tä niin tuo 162.208.119.41 ei vastaa ollenkaan.



Tuo SSL Checker yrittää välillä tuohon 162.208.119.41 osoitteeseen ja tietysti sekin epäonnistuu.

 

[user9999]

Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n
Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.

Kommenttia tähän vanhaan IPSec VPN-On-Demand (VoD) juttuun. IOS käyttiksessä oli haavoittuvuus tuossa VPN jutussa.

Unpatched iOS Bug Blocks VPNs From Encrypting All Traffic

A currently unpatched security vulnerability affecting iOS 13.3.1 or later prevents virtual private networks (VPNs) from encrypting all traffic and can lead to some Internet connections bypassing VPN encryption to expose users' data or leak their IP addresses.

www.bleepingcomputer.com

Eli löytyi syy, miksi Apple Music ei häiriintynyt tuosta, että WLAN tippuu ja VPN nousee ylös
Tuo haavoittuvuus on korjattu iOS 13.5 versiossa niin nyt tuossa Apple Music on ihan selkeä sekunnin katkos kun WLAN tippuu ja VPN nousee ylös. Onneksi tuo osaa jatkaa musiikkia niin ei tarvitse tehdä mitään.

 

[user9999]

Pfsense 2.4.5-p1 valmis.

pfSense 2.4.5-RELEASE-p1 Now Available

We are pleased to announce the release of pfSense® software version 2.4.5-p1, now available for new installations and upgrades.

www.netgate.com

pfSense 2.4.5-RELEASE-p1 Now Available

Netgate is pleased to announce the release of pfSense software version 2.4.5-p1, now available for new installations and upgrades! pfSense software version 2...

forum.netgate.com

 

[user9999]

Eivät korjanneet kaikkia reikiä. Aika uusia nuo ovat.

Fetching vuln.xml.bz2: .......... done
python37-3.7.7 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

python37-3.7.7 is vulnerable:
Python -- CRLF injection via the host part of the url passed to urlopen()
CVE: CVE-2019-18348
WWW: VuXML: Python -- CRLF injection via the host part of the url passed to urlopen()

libnghttp2-1.40.0 is vulnerable:
nghttp2 -- DoS vulnerability
CVE: CVE-2020-11080
WWW: VuXML: nghttp2 -- DoS vulnerability

3 problem(s) in 2 installed package(s) found.


Added support for Intel iwm(4) wireless cards (client mode only)

Jun 10 07:56:04

kernel

iwm0: <Intel(R) Dual Band Wireless AC 8265> mem 0xdf000000-0xdf001fff irq 16 at device 0.0 on pci2

 

[heebo1974]

Mistähän voisi johtua se, että jos reboottaan pfsensen, niin yhteys nettiin ei muodostu ennenkuin käyn buuttaamassa myös tuon Telian valokuitumuuntimen ? Sinänsä harmiton ominaisuus, mutta kun tuota telian purkkia ei voi ns. etänä boottailla, niin joutuu aina käymään tuolla varastossa missä se on. Ja toki silloin aika paha ominaisuus, jos jostain syystä tätytyy etänä (kodin ulkopuolelta) buuttailla pfsense tai tekee sen vaikka epähuomiossa.

Ihan varma en ole, mutta mielestäni tämä ominaisuus on tullut vasta 2.4.5:n mukana.

 

[user9999]

Mistähän voisi johtua se, että jos reboottaan pfsensen, niin yhteys nettiin ei muodostu ennenkuin käyn buuttaamassa myös tuon Telian valokuitumuuntimen ? Sinänsä harmiton ominaisuus, mutta kun tuota telian purkkia ei voi ns. etänä boottailla, niin joutuu aina käymään tuolla varastossa missä se on. Ja toki silloin aika paha ominaisuus, jos jostain syystä tätytyy etänä (kodin ulkopuolelta) buuttailla pfsense tai tekee sen vaikka epähuomiossa.

Ihan varma en ole, mutta mielestäni tämä ominaisuus on tullut vasta 2.4.5:n mukana.

Jääkö se pfSensen WAN interface offline tilaan tai nouseeko se ylös, mutta ei saa ip:tä.?

 

[heebo1974]

Jääkö se pfSensen WAN interface offline tilaan tai nouseeko se ylös, mutta ei saa ip:tä.?

IP:tä ei saa ja näköjään tuo Renew nappi auttaa tilanteeseen. Miksiköhän se ei tee sitä automatic ?
Olisinkohan tötöillyt jonkin asetuksen.

 

[iisac]

IP:tä ei saa ja näköjään tuo Renew nappi auttaa tilanteeseen. Miksiköhän se ei tee sitä automatic ?
Olisinkohan tötöillyt jonkin asetuksen.

Onko tuossa joku ikivanha kaapeli modeemin ja pfsensen välissä vai miksi "100baseTX"?
Seuraavaksi tarkistat että IPv4 Config type on DHCP:llä eikä staattisella. (Olettaen että modeemisi tarjoilee IPv4-osoitteen)
Kannattaa myös tarkistaa Interfaces --> WAN että siellä on " Speed and Duplex " autoselectillä, koska tuo on joskus aiheuttanut joillain verkkokorteilla ongelmia.

 

[user9999]

IP:tä ei saa ja näköjään tuo Renew nappi auttaa tilanteeseen. Miksiköhän se ei tee sitä automatic ?
Olisinkohan tötöillyt jonkin asetuksen.

Onko WAN DHCP valittuna?



Status --> System logs voi tarkistaa nuo General, Gateway ja DHCP logit jos siellä näkyisi jotain.

 

[heebo1974]

Onko tuossa joku ikivanha kaapeli modeemin ja pfsensen välissä vai miksi "100baseTX"?

Tätä rupesin itsekin ihmettelemään. Kävin irroittelemassa kaapelin molemmista päistä ja laitoin takaisin. Tämän jälkeen se tunnisti 1000baseT <full duplex>:in ja bootin jälkeen löysi IP:n normaalisti ilman että piti kuitumuunninta boottailla.
Thänks!

 

[heebo1974]

Itseasiassa tuossa jokin aikaa sitten ihmettelinkin, miksi speedtestin tulokset putosivat jostain 105-108 tuloksista jonnekkin 90 paikkeillei..
Luulin vain, että Telia oli vaihteluvälin salliessa pudottanut kaistaa alkuhuuman jälkeen. Meinasin jopa tehdä vikailmoituksen, että miksi tällainen pudotus ? hih.. ja yllättäen omissa laitteissa vika..

 

[samim]

Kokeile laittaa portti autosensestä kiinteäksi. Gigasten porttien tunnistus ei aina toimi.

 

[heebo1974]

Kokeile laittaa portti autosensestä kiinteäksi. Gigasten porttien tunnistus ei aina toimi.

Ei kyllä se vika oli jossain "johtojen" asennossa tmjs. Koska ensin kokeilen pakottaa tuota gigaista, mutta ei toiminut.
Sitten kun räpelsin johdot, niin tunnisti tuolla auto asennolla ihan kunnolla.

Edit: ja on intelin kortit näissä APU:ssa

 

[user9999]

Realtek verkkokorteissa on ollut noita kättelyongelmia tai ettei ole tunnistanut onko kaapeli kiinni. Pitänyt tuulettaa virtapiuhaa.
Yksi tapaus:

Kerro miksi tänään vituttaa! :(

Juu, voimia kaikille tilanteessa oleville.

bbs.io-tech.fi

 

[samim]

EMT, olikin jo vanha juttu