Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti
Muistelisin että OVH on aina välillä ollut hostaamassa kynseenalaista koodia. Tutkin tarkemmin jos false positive ilmestyy omassa käytössä. Toki lipsumiset ovat aina mahdollisia, mutta en lähtisi poistelemaan listoja yksittäistapausten vuoksi. Säännöllinen riesa on toki asia erikseen.

https://doc.emergingthreats.net/bin/view/Main/2018364
OVH Shared Host SSL Certificate (Observed In Use by Some Trojans)

Ongoing DNS hijacking campaign targeting consumer routers – Bad Packets Report
The IP address of rogue DNS server used in this attack was 66.70.173.48 and hosted by OVH Canada.


164.132.235.17 | OVH SAS | AbuseIPDB
Used by a malware to download an instance of FormBook (www.soulscommunity.com)

Cryptomining Malware Infecting Node-RED servers
This belongs to hosting vendor OVH.


0dGe9St.png


Spamhaus Botnet Threat Report 2017
 
Vois tuota pfBlockerNG taas testata. Kumpi noista kannattaa asentaa normaali vain devel?
 
Joko fq_codel conffaus ei osunut täysin kodilleen tai sitten se vaan ei toimi yhtä hyvin kuin openwrt:n cake.
Openwrt:llä ei missään tilanteessa bufferbloat mennyt alle A+:n, mutta tällä en vielä ole saanut sitä 100% varmaksi.
Eli vaihtelevasti tulee A tai A+. En oikein tiedä mitä asetuksia pitäisi twiikkailla. Queue lenghtin olen jättänyt tyhjäksi.
Upload ja download rajoituksia olen pudottanut "selvästi" alemmaksi kuin openwrt:llä ja silti ei vielä vakuuta.
Onko se sitten caken paremmuutta vai mistä lie johtuu ?


EDIT: Pikku testiä ja 4000 queue lenghtiksi... A+ pukkaa. :)
Nyt vain odotellaan kuidun saapumista. Vielä mennään VDSL2:lla.
Juhlin liian aikaisin tuon kanssa. Pienoinen pettymys tuon fq_codelin toiminta pfSensessä vaikka purkissa riittää potkua.
Randomilla saan A+ bufferbloatiksi. Vaihtelee A:n ja A+ välillä, joskus (harvoin) jopa B/C...
Olen nyt päätynyt vähän erilaisiin asetuksiin, jossa itse Codel on vaihdettu Taildropiksi ja sillä A+ tulee useammin kuin Codelilla.
Vanhalla netgearilla ja openwrt:llä tuli käytännössä 100% aina A+.

Tätä ketjua olen seuraillut: Playing with fq_codel in 2.4

En tosin ole poissulkenut sitä, että jokin asetus olisi pielessä. :)
 
Viimeksi muokattu:
fq_codel kannattaa tuunata DSLreportsin ilmoittaman nopeuden mukaisesti. Eli jos liittymä on 100MB ja DSLreports ilmoittaa todelliseksi nopeudeksi 86MB/s, silloin kannattaa asettaa 86:ksi, eikä 100. Sama pätee uploadiinkin. Samoin A+:n saamiseksi on syytä varmistaa ettei nettiliittymällä tehdä mitään muuta (katsota Netflixiä, latailla jotain yms.).
 
fq_codel kannattaa tuunata DSLreportsin ilmoittaman nopeuden mukaisesti. Eli jos liittymä on 100MB ja DSLreports ilmoittaa todelliseksi nopeudeksi 86MB/s, silloin kannattaa asettaa 86:ksi, eikä 100. Sama pätee uploadiinkin. Samoin A+:n saamiseksi on syytä varmistaa ettei nettiliittymällä tehdä mitään muuta (katsota Netflixiä, latailla jotain yms.).
Jep, tosin eikös tuo A+ juuri pitäisi tulla vaikka verkossa tehtäisiin mitä tahansa. Eikös tuo traffic shaping juuri ole sitä varten, että päästäisiin noihin tuloksiin ? Mitäs järkeä siinä on, että se toimii vain testin aikana. :)
Tarkoitan siis buffebloat A+ arvoa, en tietenkään niitä nopeuksia.
 
Jep, tosin eikös tuo A+ juuri pitäisi tulla vaikka verkossa tehtäisiin mitä tahansa. Eikös tuo traffic shaping juuri ole sitä varten, että päästäisiin noihin tuloksiin ? Mitäs järkeä siinä on, että se toimii vain testin aikana. :)
Tarkoitan siis buffebloat A+ arvoa, en tietenkään niitä nopeuksia.
Tarkoitin lähinnä A+:n saamista. Jos koko fq_codelia ei olisi käytössä silloin tulos saattaa olla kaikkea A+:n ja F:n väliltä riippuen siitä miten hyvin purkissa riittää potku. :)
 
Mielenkiintoinen video pfSensesta ja Enterprise-ympäristöistä:

mm. MasterCardin pfsense-rekry yms.

 
Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?
 
Failaako muilla pfBlockerNG tuo Talos?
t89ug3t.png

Just eilen sen korjasin niin tänään tuli uusi dev ja sama homma :D
 
Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?
En kyllä jaksa muistaa tuosta paljoa. Mulla oli tuollainen konfis joskus, jossa Elisan 100 meganen laajakaista ja Telian 50 meganen mobiililaajakaista. Speedtest näytti tuolle typerästi eli molempien nopeudet yhteen laskettuna.
Kokeile, saatko toivotun tilanteen muuttamalla wanien weight arvot erilaisiksi.
kjg18Sn.png
 
En kyllä jaksa muistaa tuosta paljoa. Mulla oli tuollainen konfis joskus, jossa Elisan 100 meganen laajakaista ja Telian 50 meganen mobiililaajakaista. Speedtest näytti tuolle typerästi eli molempien nopeudet yhteen laskettuna.
Kokeile, saatko toivotun tilanteen muuttamalla wanien weight arvot erilaisiksi.

Ei vaikuttanut, sama toiminta kuin molemmissa weight 1. Yritän siis juuri tuplata yhteysnopeuden kahdella WANilla, yksittäin molempien liittymien nopeus 70-80MBit/s.

8300711748.png

dualwan.jpg
 
Jos sinulla on kaksi Telian korttia, niin voi olla mahdollisuus, että tukiasema hannaa vastaan. Eli konffi voi olla oikein, mutta tukiasema ei yksinkertaisesti anna pihalle enempää. Heitä joku DNAn pre-paid kortti toiseen sisään, ja testaa.
 
Ei vaikuttanut, sama toiminta kuin molemmissa weight 1. Yritän siis juuri tuplata yhteysnopeuden kahdella WANilla, yksittäin molempien liittymien nopeus 70-80MBit/s.

8300711748.png

dualwan.jpg
Will a multi-wan router double my speed ?
Ei tuo onnistu dual wanilla. Sun pitää reitittää pfsensellä esim. kone1 menemään wan1 ja sitten toinen kone2 menemään wan2.

Edit: Eli kokeile useammalla koneella Speedtestiä. Jos Load-Balance toimisi.
 
Viimeksi muokattu:
Jos sinulla on kaksi Telian korttia, niin voi olla mahdollisuus, että tukiasema hannaa vastaan. Eli konffi voi olla oikein, mutta tukiasema ei yksinkertaisesti anna pihalle enempää. Heitä joku DNAn pre-paid kortti toiseen sisään, ja testaa.

Elisan korttia meinasinkin kokeilla toisessa motukassa, jos tuota on rajoitettu Telian päässä.
Will a multi-wan router double my speed ?
Ei tuo onnistu dual wanilla. Sun pitää reitittää pfsensellä esim. kone1 menemään wan1 ja sitten toinen kone2 menemään wan2.

Edit: Eli kokeile useammalla koneella Speedtestiä. Jos Load-Balance toimisi.

Load balancing oli itselle käsitteenä tuttu, mutta sen toiminta hakusessa. Tässä videolla näkyy tuo konffaus:


Tuota olisin hakemassa, mutta noilla setupeilla ei vielä onnistu. Täytyy katsoa mitä pfSensen perässä oleva AC87U on asetuksiltaan.
 
Tässä ovat mun käyttämät listat:

ebTB4vZ.png


yzYPd71.png


x9Og857.png

pONyQK1.png

Iq8VOD2.png

0BZ0bJf.png


dNLIPQr.png
TE1lKQi.png

X0eUmKg.png

Listat ovat valitu harkitusti ja käyttötarpeen mukaan. Jätin kaikki bundle-listat tarkoituksella pois, helpomman vianselvityksen ja paremman ajantasaisuuden varmistamiseksi. Tässäkin asiassa määrä ei siis korvaa laatua. :)

- Kaikki listat ovat valittu laadun perusteella. Laadulla tarkoitan mahdollisimmna vähän false positiveja ja taustalla pyörivän tahon uskottavuus yms.
- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
- Päivitysajat ovat speksattu listojen tekijöiden ilmoittamien päivitysaikojen mukaan. Ei siis ole järkeä päivittää tiettyä listaa tunnin välein, jos ylläpitäjä päivittää sen kerran päivässä.
- Listat päivittyvät joka yö. Oletuksena pfBlockerNG skippaa päivitämättömät listat automaatisesti.

IPv4:

- PR1:
  1. Abuse.ch on tunnettu laadukkaista listoista. He pyörittävät mm. honeynettiä. Heillä on jopa statistiikkaa abuse.ch | Fighting malware and botnets mitä kaikkea ovat tunnistaneet.
  2. CINS Army on yhteisö joka selvittelee mitä mikäkin koputteleva IP on yrittämässä. Myös heidän listat ovat perus laadukkaita. Active Threat Intelligence - CINS Army
  3. Emerging Threats - Internet-uhkiin erikoistunut yritys. He tekevät useita maksullisia IPS-listoja mm. Snortille. Emerging Threat Intelligence - Cyber Threat Solutions | Proofpoint
  4. SANS.edu. (entinen DShield)- Tietoturvaan erikoistunut yliopisto joka ylläpitää omia (Internet Storm Center) listoja. Tarkempaa kuvausta: About Us - SANS Internet Storm Center
  5. Talos on Ciscon ostama Internet-uhkiin erikoistunut yritys. Mm. Ciscon enterprise-tason verkkolaitteet käyttävät Talosin estolistoja. https://www.talosintelligence.com/reputation_center
- PR2:
  1. Alienvault - AT&T Cybersecurity - Wikipedia (By July 2017, AlienVault Open Threat Exchange platform had 65,000 participants who contributed more than 14 million threat indicators daily)

- PR3:
  1. BlockList.de - Varsin suosittu estolista. Tarkempaa infoa: www.blocklist.de -- Fail2Ban-Reporting Service (we sent Reports from Attacks on Postfix, SSH, Apache-Attacks, Spambots, irc-Bots, Reg-Bots, DDos and more) from Fail2Ban via X-ARF.
  2. MalwareDomainList.com:n IPv4 estolista. Malware Domain List

- PR4
  1. BinaryDefense - Listan ylläpitää tietoturvaan erikoistunut yritys. "Real People Detecting Real Threats in Real Time"
  2. Malc0de - MalwareDomainList.com:n kaltainen malware-estolista. Malc0de Database

ss7rTT6.png




DNSL/mainosesto:

- Suurin osa on lainattu PiHolen vakiolistoista. Luultavasti tällä hetkellä PiHole kuitenkin käyttää eri listoja.

ADs:
- Cameleon - Erittäin toimiva ja suht koht ongelmaton mainostenestolista
- Disconnect.Me - Estolistoihin erikoistunut yritys.
- Disconnect.Me Privacy - Sama perustelu kuten yllä. "Disconnect is founded on the belief that privacy is a fundamental human right: that people should have the freedom to move about the internet - and their lives - without anyone looking over their shoulder."
- EasyList_Finnish - Suomalaisille tarkoitettu EasyListin "lisälista".
- hpHosts_ATS - Kenties tehokkain mainostenestolista.

Malicious:
- Disconnect.Me:n malwertising-lista. Se pyrkii estämään malwarea sisältävät mainokset. (ei niin tarpeellinen lista)
- MalwareDomainList.com:n estolista. Kenties paras yksittäinen lista tunnistettujen domainien estämiseen. Tämäkin on lähinnä "nice to have".

Cryptojackers:
- CoinBlockerlist - Toinen kahdesta cryptolouhintaestolistoista. Näitä on turhaa selitellä sen enempää. :) Suosittelen vähintään yhden listan käyttöä, cryptolouhintamainosten ollessa vielä jotenkuten elossa.
- NoCoin - Toinen kahdesta cryptolouhintaestolistoista.

Whitelista:
- Käyttämäni pankit, suomalaiset virastot yms sivustot

Sekä tämä (pfBlockerNG kehittäjän suositus):

VrbT5D7.png



Statistiikkaa:

VwvifsS.png

Huom! Nollaa näyttävät lisata tarkoittavat sitä ettei listoissa esiintyviin IP:hin ole yritetty ottaa yhteyttä. Eli noin se pitäisikin olla. :tup:

Kyseiset listat estävät myös oman puhelimen kautta kulkevaa liikennettä (OpenVPN:n kautta). Näin puhelimen mainostenesto on juuri sitä mitä sen pitäisikin olla.

Noilla listoilla omassa sisäverkossa olevien koneiden tartuttaminen vaatii jo yrittämistä. Tämän ansiosta esim. Windows Defender on riittävä virustorjunta, kun suurin osa pöpöistä luultavasti jää jo palomuuriin. Näin se pitäisikin olla.


Saa kommenttoida, moittia kehua tai muuten antaa palautetta. :)

Olisiko jossain aloittelijoiden stepbystep-ohje, jolla tämä ohjelma asennetaan tietokoneelle ja laitetaan toimimaan? Kuulostaa nimittäin hyvältä. Mulla on käytössä Telian 4G-liittymä Huawein B525-modeemin kautta.

Toimiiko tämä firewall/mainosten estäjä myös Androidilla vai pitäisikö asentaa Blokada tai Adguard?
 
Olisiko jossain aloittelijoiden stepbystep-ohje, jolla tämä ohjelma asennetaan tietokoneelle ja laitetaan toimimaan? Kuulostaa nimittäin hyvältä. Mulla on käytössä Telian 4G-liittymä Huawein B525-modeemin kautta.

Toimiiko tämä firewall/mainosten estäjä myös Androidilla vai pitäisikö asentaa Blokada tai Adguard?

"Ohjelma" on erillinen palomuuri-OS, pyörii omalla raudalla tai virtualisoituna. Minulle tuli torstaina APU4C4-boksi jolla tuota pyöritän, helpompi vaihtoehto on esim. RaspberryPi ja siihen pi-hole. Ei niin kattavat toiminnot, mutta mainostenestossa erittäin hyvä ja halpa.
 
Elisan korttia meinasinkin kokeilla toisessa motukassa, jos tuota on rajoitettu Telian päässä.


Load balancing oli itselle käsitteenä tuttu, mutta sen toiminta hakusessa. Tässä videolla näkyy tuo konffaus:


Tuota olisin hakemassa, mutta noilla setupeilla ei vielä onnistu. Täytyy katsoa mitä pfSensen perässä oleva AC87U on asetuksiltaan.

Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.
 
Olisikohan näille kysyntää?:think:

Varmasti olisi, tosin löytyyhän noita useammalta sivustolta. Suomenkielistä en ihan heti löytänyt, huomioon otettavia asioita monta:
- Mihin rautaan asennetaan (oikean imagen valinta)
- Sarjayhteyden muodotus ja mitä se vaatii (minulla ei toiminut RS232 FTDI USB UART adapteri, jouduin hakemaan kaverilta pöytäkoneen jossa sarjaliitäntä. Tinasin jatketut johdot ja yhdistin johto kerrallaan pinniliittimillä PC-APU4 :rofl:)
- Tiedostojärjestelmien erot ja mitä kannataa käyttää UFS/ZFS

Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.

Erittäin hyvin sanottu siellä perällä! :tup:
 
Pistä kone karvalla suoraan kiinni pfSensen LAN porttiin ja testaa. Selviää, että onko tuossa Asuksessa jotain ongelmaa.

APUssa on 4 porttia, 2 WAN ja 1 LAN menee Asukselle. Konffasin sen yhden samoilla asetuksilla kuin tuo LAN. Sama tulos nopeustesteillä, seuraavaksi haen lainaan toisen operaattorin SIMin.
 
Asensin taas pitkästä aikaa pfSenseen OpenVPN-serverin ja rupesin miettiin kaikkia niitä sertifikaatteja, salaus- ja pakkaus-asetuksia. Kuinka paljo porukka muokkailee niitä, vai mennäänkö oletusasetuksilla?

Itse tein nyt oletusasetuksilla mitä tulee salaukseen ja pakkaukseen. Jos ootte jotain muuttanu vs. oletukset, niin mitä ja miksi?

Takaraivossa on jokin hämärä kuva, että läpäisykykyä pystyisi optimoimaan/parantamaan jotenkin asetuksia vaihtamalla.
 
Asensin taas pitkästä aikaa pfSenseen OpenVPN-serverin ja rupesin miettiin kaikkia niitä sertifikaatteja, salaus- ja pakkaus-asetuksia. Kuinka paljo porukka muokkailee niitä, vai mennäänkö oletusasetuksilla?

Itse tein nyt oletusasetuksilla mitä tulee salaukseen ja pakkaukseen. Jos ootte jotain muuttanu vs. oletukset, niin mitä ja miksi?

Takaraivossa on jokin hämärä kuva, että läpäisykykyä pystyisi optimoimaan/parantamaan jotenkin asetuksia vaihtamalla.
Itse en käytä pakkausta ollenkaan.
The VORACLE attack vulnerability | OpenVPN
VORACLE – OpenVPN Community
Feature #8788: Disable compression by default for OpenVPN - pfSense - pfSense bugtracker
 
Mitkähän olis hyvät traffic shaper säädöt dual wan lte setupille, missä tuon lte:n nopeus vaihtelee todella paljon päivän aikana? fq_codelia on tähän asti ollut, mutta ruuhkaisina aikoina menee liikenne ihan puuroksi.

Verkossa ~20 aktiivista tietokonetta käyttämässä nettiä, joten pitäisi saada mahdollisimman paljon kaistaa käyttöön.
 
Mitkähän olis hyvät traffic shaper säädöt dual wan lte setupille, missä tuon lte:n nopeus vaihtelee todella paljon päivän aikana? fq_codelia on tähän asti ollut, mutta ruuhkaisina aikoina menee liikenne ihan puuroksi.

Verkossa ~20 aktiivista tietokonetta käyttämässä nettiä, joten pitäisi saada mahdollisimman paljon kaistaa käyttöön.
Minun mielestä tuolle ei ole mitään ratkaisua. Itse tappelin kauan 4G liittymän (ainoana liittymänä) tuon shaperin kanssa (openwrt/tomato/gargoyle ympäristössä). EI ollut muuta mahdollisuutta kuin leikata vain kunnolla kaistaa, jos halusi sen toimivan mahdollisimman suurena aikavälinä.
Gargoylessä oli joku dynaaminen QOS, joka pingaili serveriä ja jos ping kasvoi se pudotti automatic upload arvoa. Tuo tavallaan olisi toimiva systeemi, mutta käytännössä se ei kuitenkaan toiminut. Se muistaakseni pudotti uploadia, muttei oikein koskaan palauttanut sitä takaisin.
 
Miten toi pfBlockerNG pitää konffata että se blokkaa mainokset plus muut OpenVPN-asiakkailta myös?

OpenVPN siis on toiminnassa (yhteys aukeaa, sisäverkon masiinat löytyy, OVPN-asiakas pääsee nettiin, jne.), tosin syystä x se toimii todella hitaasti. Hitaalla tarkoitan, että se miettii sivujen avaamisessa todella kauan joka välissä ja arvelen että se saattas johtua tuosta pfBlockerNG:stä (joka siis taas toimii ihan normaalisti sisäverkon asiakkaiden kanssa). Luurin SpeedTestillä kun testaan nopeutta OpenVPN:n läpi, niin se antaa luuriliittymän normaaleja nopeuksia.

pfBlockerNG:n IP-asetukset:
pfBlockerNG_IP_asetukset.jpg

pfBlockerNG:n DNSBL-asetukset:
pfBlockerNG_DNSBL_asetukset.jpg
 
Sun pitää valita OpenVPN:n "Outbound Firewall Rules":sta. pfBlockerNG ei pure interfaceen jos sille ei sallita sellaista.

Nettisivujen hitaus voi johtua DNS:stäkin.
 
Sun pitää valita OpenVPN:n "Outbound Firewall Rules":sta. pfBlockerNG ei pure interfaceen jos sille ei sallita sellaista.

Nettisivujen hitaus voi johtua DNS:stäkin.

Ei tunnu onnistuvan täysin... Ainakaa luuria ei pahemmin kiinnosta toi pfBlockerNG:n DNSBL blokki listat OpenVPN kautta.

IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä.

Pitääkö OpenVPN:lle antaa reitti, tjms. tuonne pfBlockerNG:n Virtuaali IP osoitteeseen (10.10.10.1) joka näkyy tuolla aikasemman postaukseni alemmassa kuvassa?
 
Ei tunnu onnistuvan täysin... Ainakaa luuria ei pahemmin kiinnosta toi pfBlockerNG:n DNSBL blokki listat OpenVPN kautta.

IPv4 listat näyttäs toimivan, kun luurin Chromella yritän mennä osoitteeseen http://185.244.149.206/ joka on Abuse_Feodo_C2_v4 -listassa estettynä.

Pitääkö OpenVPN:lle antaa reitti, tjms. tuonne pfBlockerNG:n Virtuaali IP osoitteeseen (10.10.10.1) joka näkyy tuolla aikasemman postaukseni alemmassa kuvassa?

Jakaako DHCP varmasti pfSensen osoitteen DNS:ksi? Onko kuvan mukainen kohta täpätty?
openvpn
14706851.jpg
 
OpenVPN konffattu full-VPN:ksi (kaikki liikenne kulkee tunnelin läpi), eikä split-VPN:ksi (vain sisäverkkoon kohdistuvat tunneloidaan)?
 
Huomasin juuri, että ruutu.fi ei toimi pfBlockerNG:n kanssa. Ei, vaikka whitelistaan ".ruutu.fi" ja vedän force reloadin. Apuja?

Edit: Tietokoneella, ei väliä onko Firefox, Chrome, tai Edge.
 
Viimeksi muokattu:
OpenVPN konffattu full-VPN:ksi (kaikki liikenne kulkee tunnelin läpi), eikä split-VPN:ksi (vain sisäverkkoon kohdistuvat tunneloidaan)?

Kaikki liikenne tunnelin läpi.

En tiä mitä tein, mutta nytten sivut latautuu niinku pitää ja pfBlockerin DNSBL-listatki ottaa osumia luurista o_O. Noh, tää keissi on nyt ainakin toistaiseksi ratkaistu...
 
Sinulla on kaksi eri DNS:ää määritetty, jossa toisessa (Winkka serveri) ei ole sääntöjä. Luuri oli luultavasti siinä kiinni, ja nyt on pfSensessä. Ota se toinen (Winkka serveri) DNS pois DHCP:ltä, ja käytä DNS1 sekä DNS2:ssa samaa pfSensen osoitetta.
 
Sinulla on kaksi eri DNS:ää määritetty, jossa toisessa (Winkka serveri) ei ole sääntöjä. Luuri oli luultavasti siinä kiinni, ja nyt on pfSensessä. Ota se toinen (Winkka serveri) DNS pois DHCP:ltä, ja käytä DNS1 sekä DNS2:ssa samaa pfSensen osoitetta.

Pitää tehdä niin. Toi Windowssi on ollu hoitamassa sisäverkon DNS:sää, mut samapa tuo on siirtää sekin pfSensen haltuun, jos se auttas vähentään sekoilua :).
 
Itse jos käytän androidia netin jakamiseen niin rootattuna voi terminaalin kautta laittaa vpn, dns määritykset ja ip / portti blokkaukset päälle tarvittaessa niin että puhelin ja wifin kautta yhteydessä olevat laitteet menee samoilla säännöillä.

Tein pienen sovelluksen että napista menee ylläolevat määritykset päälle.

/laiska
 
Pistetään tännekin threadiin:

Huomasin juuri, että ruutu.fi ei toimi pfBlockerNG:n kanssa. Ei, vaikka whitelistaan ".ruutu.fi" ja vedän force reloadin. Apuja?

Edit: Tietokoneella, ei väliä onko Firefox, Chrome, tai Edge.

Itse itselleni vastaten, whitelistiin:
.ruutu.fi
7caa2.v.fwmrm.net # ruutu.fi needs this in browsers
g3.v.fwmrm.net # ruutu.fi needs this in browsers

Tässä voi olla vielä jumpattavaa, sillä tuo '7caa2.v.fwmrm.net' saattaa olla dynaaminen osoite ja vaihtua aina aika-ajoin. Mutta tällä hetkellä noilla saa ruutu.fi:n toimimaan pfSense + pfBlockerNG-devel -yhdistelmällä. Windows 10 käyttiksenä, jos sillä nyt tässä kohtaa mitään merkitystä on.

AndroidTV:n app toimii ilmankin noita whitelist -lisäyksiä.

Edit: Sain siivottua listan kolmeen riviin. Tuossa on vielä mahdollisuus, että whitelistaa '.v.fwmrm.net', mutta siinä saattaa päästää ylimääräistä läpi.
 
Viimeksi muokattu:
Mikähän mättää pfSense 4G Dual WAN konfiguraatiossa? 2 porttia määritelty WANeiksi, molempien gateway online, saavat modeemeilta IPt. Gateway group tehty, molemmat WANit Tier1 ja triggerinä Packet Loss or High Latency. Kun laitan esim. Speedtestin pyörimään rasittuu molemmat gatewayt tasaisesti, mutta nopeus pysyy hieman hitaampana kuin yksittäisen liittymän nopeus. Molemmat SIMit Telialta, voisiko tuossa olla syy?

Palaan tähän, toisen operaattorin kortti auttoi. 2X Telia ei nopeuttanut yhteyttä yhtään, tänään tuli Elisalta SIM ja nopeus pompsahti mukavasti:

2 x Telian SIM
8300711748.png


Telia + Elisa SIM
8315984489.png


Asetukset siis oli oikein pfSensessä.
 
Joku tuossa Load Balancingissa mättää, riippuen latauspaikasta lataa vain toisella WANilla. Eli ei tasaa kuormaa molemmille. Vaikuttaako DNS asetukset tuohon, pfSensen oletus 1.1.1.1 ja toisena 1.0.0.1? Samat on laitettu WANien monitoring osoitteiksi, DNS over TLS käytössä.
 
Joku tuossa Load Balancingissa mättää, riippuen latauspaikasta lataa vain toisella WANilla. Eli ei tasaa kuormaa molemmille. Vaikuttaako DNS asetukset tuohon, pfSensen oletus 1.1.1.1 ja toisena 1.0.0.1? Samat on laitettu WANien monitoring osoitteiksi, DNS over TLS käytössä.
No ei yhtä tcp streamia saa valumaan kahta putkea pitkin vaikka kuinka koittaa. Eli mitä ikinä lataatkin, niin sen pitäisi sitten tukea useita yhtäaikaisia streameja. Esim Ooklan speedtest tukee ja näin saat sitten testissä nopeamman yhteyden.
 
No ei yhtä tcp streamia saa valumaan kahta putkea pitkin vaikka kuinka koittaa. Eli mitä ikinä lataatkin, niin sen pitäisi sitten tukea useita yhtäaikaisia streameja. Esim Ooklan speedtest tukee ja näin saat sitten testissä nopeamman yhteyden.

Jep, se kävi mielessä, mutta oletin että toimisi hieman laajemmin. Noh, onhan tuossa nyt kaistaa käytössä, saa splittailla sitä sen mukaan mitä nuo 17 laitetta sitä tarvii. Tasaa kumminkin kuormaa hyvin ilta-aikaan.
 
@Gobi Load balancing ≠ link aggregation.
Load balancing (computing) - Wikipedia
Link aggregation - Wikipedia
"Load balancing differs from channel bonding in that load balancing divides traffic between network interfaces on a network socket (OSI model layer 4) basis, while channel bonding implies a division of traffic between physical interfaces at a lower level, either per packet (OSI model Layer 3) or on a data link (OSI model Layer 2) basis with a protocol like shortest path bridging."
upload_2019-6-7_13-22-9.png

Lisäksi se mitä load balance tekee riippuu siitä algoritmista mitä käytetään.
Load Balancing Algorithms and Techniques
pfsense käyttää Round Robinia eli aktiiviset yhteydet jakautuu "tasaisesti" 1-2-1-2-1-2 eri WANeille. Tämä on se yleisin kun se on se helpoin eikä aiheuta ongelmia käyttäjille eli sama liikenne ei käytä eri reittejä ulkomaailmaan.
Lisäksi nämä pitäisi pystyä myös painottamaan (Weighted Round Robin) eli jos tiedetään että toinen yhteys on parempi tjsp niin ne voisi painottaa esim 75/25.

---

P.S. Sivuhuomiona, onko pfsensessä Least Connection, Traffic tai Latency algoritmeja?
 

Statistiikka

Viestiketjuista
259 110
Viestejä
4 502 259
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom