Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja escalibur, 27.01.2017.

  1. tapsa

    tapsa

    Viestejä:
    43
    Rekisteröitynyt:
    14.01.2017
    Onkohan Telian 6rd gateway kuollut, ei ainakaan pingiin vastaa ja telian asiantuntijat ei tinnyt koko 6rd jutusta mitään sanoivat vain että ipv6:tta ei ole otettu käyttöön :(
     
  2. Algron28

    Algron28

    Viestejä:
    1 446
    Rekisteröitynyt:
    17.10.2016
    Todellisia asian_tuntijoita vissiin Telialla.
     
  3. Sampo_91

    Sampo_91

    Viestejä:
    17
    Rekisteröitynyt:
    08.01.2017
    Pystyykö joku testaamaan palvelureitittimellä? Mielestäni se toimi vielä viime viikolla. Sylettää, jos olen debugannut turhaan

    Sent from my H8324 using Tapatalk
     
  4. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
  5. Sampo_91

    Sampo_91

    Viestejä:
    17
    Rekisteröitynyt:
    08.01.2017
    OPNsensen dokumentaatio:

    Palvelureitittimellä (valitettavasti) IPv6 muuten toimii.
     
    Viimeksi muokattu: 09.07.2019
  6. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Nyt on pfSense asennettu ja mukava palata taas vanhaan tuttuun palomuurijärjestelmään. Suricata sekä freeradius asennettu ja kova konffaus menossa. Pari kysymystä vaan jäi mietityttämään itselläni siis 2-ssd:tä joihin meinasin tuon asentaa ja luoda raid1:n mutta asennuksessa ei annettu tuohon mahdollisuutta. Lueskelin foorumeita ja kuulemma tuo tehtäisiin nykyään zfs mirrorilla onko asia näin, ja onko tyypeillä tuosta kokemusta. Lisäksi miten saan arpwatchin välittämään dataa meiliin ilmeisesti pfsenselle pitäisi luoda oma meiliosoite tuota varten. Vai miten tuo nyt menee. Eikös jollain täällä ollut arpwatch välittämässä tietoja meiliin. Miten tuo siis konffattiin. PfSensen meiliasetuksiin osoitteet kohdilleen ja homma alkaa toimia. Ei voi muuta kuin todeta että kirkkaasti paras palomuurijärjestelmä pfSense jopa oman linuxvirityksen jälkeen jota tuli säädettyä todella paljon. Lisäksi vielä pfSense avointa koodia joka on foliohatulle todella tärkeää. Seuraavaksi vain pfblockeria kehiin.
     
  7. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    Itse luottaisin enemmän VMwaren Best Practiseihin kuin OPNsensen koodareihin. :)
     
  8. Barbarossa

    Barbarossa

    Viestejä:
    404
    Rekisteröitynyt:
    17.10.2016
    Ei millään pahalla, mutta ei oikeastaan millään hyvälläkään.

    Tuo on kyllä jo huomattu, muistat mainita asiasta melkein joka ikiseen postaukseen jossa mainitaan OPNsense. En tiedä puhutko ihan oikeasta kokemuksesta tai ymmärryksestä, vai toisteletko samoja asioita mitä tuntuvat redditin ja Netgaten forkan raivokkaimmat fanipojat tekevän. Tyyli kuulostaa enemmän jälkimmäiseltä, joten vaikka tietäisitkin mistä puhut niin ainakaan ei sellaista vaikutelmaa välity.


    Varmasti se OPNsense ihan objektiivisesti tarkastellenkin on se huonompi näistä kahdesta, ainakin täälläkin mainitut pfBlockerNG ja arpwatch, sekä laajemman käyttäjäkunnan synnyttämä parempi vertaistuki puhuvat pfSensen puolesta. Hyvinkin mahdollista että lyön tuohon APUun pfSensen ennenkuin edes kunnolla pääsen kokeilemaan OPNsenseä.

    Mutta tällaiset "öhö öhö copypaste purkkaa" ja "paskaa se on koska tämä pfSense tubettaja niin sanoo" tason lohkaisut lähinnä saavat miettimään että onko se IPFire sittenkään niin rajoittunut...
     
  9. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    @Barbarossa Olisin vastanut samoin vaikka kyseessä olisi ollut vaikkapa pfSensen koodarit. Ei tartuta turhiin sivuaiheisiin varsinaisen pointin ohella.
     
  10. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 202
    Rekisteröitynyt:
    17.10.2016
    Laittaa nuo Notifications maili asetukset kuntoon ja testaa (Test SMTP Settings), että toimii.
    pfSense email notification when fallback WAN connection goes down - nixCraft
    Arpwatchin Notifications recipient kenttään laittaa sitten käytetyn sähköpostiosoitteen. Sitten seuraa postilaatikkoa niin sinne pitäisi tulla viestejä (Arpwatch Notification : new station) verkossa olevista laitteista.
     
  11. tapsa

    tapsa

    Viestejä:
    43
    Rekisteröitynyt:
    14.01.2017
    Onkos muilla ongelmia Telian ipv6 6rd palvelussa, mulla lakkas pfsensessä toimimasta (toimi yli vuoden ok) ja Ubiquitin ER-X ei myöskään toimi enää. 6rd gateway ei ainakaan vastaa pingiin.
     
  12. iccb

    iccb

    Viestejä:
    231
    Rekisteröitynyt:
    17.10.2016
    Itse pystyn "vauhkoamaan" IPFiren puolesta kun sitä olen monta vuotta jo käyttänyt ja erilaisten PF/OPnsenseilyjen jälkeen olen aina palannut siihen. Yksinkertaisesti se on helpompi käyttää ja siinä riittävästi ominaisuuksia. YT videoita on vähän ja foorumilla on paljon asioita Saksan kielellä, mutta kääntäjän avulla on selvinnyt ne mitä on tarvinnut. Tämän lisäosan timfprogs/ipfblocklist avulla saa osittain samoja ominaisuuksia lisää mitä PFBlocker lisäosa antaa.
    Toi arpwatch kuulostaa aika hyvältä paketilta ja sitä ei suoraan ainakaan löydy IPFirelle. En ole sen suuremmin tutkinut asiaa kun sillä ei itselleni ole käytännössä käyttöä.
     
    Barbarossa tykkää tästä.
  13. Barbarossa

    Barbarossa

    Viestejä:
    404
    Rekisteröitynyt:
    17.10.2016
    IPFire kyllä kiinnostaisi noin yleisestikin, Linux alustana ja ympäristönä on tuttua kauraa kun taas *BSD täydellinen terra incognita. Melkoisesti pienempi kynnys ja luultavasti perusjuttujen kanssa turatessa pärjäisi ihan omillaankin.

    Pitää nyt katsella vähän :think:
     
  14. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    665
    Rekisteröitynyt:
    17.10.2016
    Laite jatkoi random boottailua, sain sen lopulta kaatumaan joka kerta vetämällä iperfiä ~10min sen läpi. Laitoin tuosta viestiä tukeen ja se otettiin suoraan RMA:han. Maksoivat Fedex lähetyksen takaisin Texasiin, vähän tulliselvitysten kanssa piti säätää.

    Tuohon tulee Netgatelta valmis image missä on kaikki tehty valmiiksi, bootloaderissa pitää vaan ajaa usb recovery mikä kopioi imagen usb tikulta laitteen muistiin. Positiivista on, että sarjaportti on omalla virransyötöllä eli laitetta voi boottailla ilman että sarjaporttiyhteys katoaa.
     
    escalibur tykkää tästä.
  15. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    No niin, hyvähyvä! Hienoa että takuu pelaa myös USA:n rajojen ulkopuolella. Joko sait toimivan yksilön vai onko homma vielä kesken?
     
  16. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    665
    Rekisteröitynyt:
    17.10.2016
    Vasta matkalla amerikkaan. Logistiikka tosiaan hoitunut tähän asti kaikki Fedexillä, en tiedä miten toimii jos ollaan sen toiminta-alueen ulkopuolella.
     
    escalibur tykkää tästä.
  17. tapsa

    tapsa

    Viestejä:
    43
    Rekisteröitynyt:
    14.01.2017
    No niin, sain tänään puhelun Telian verkonhallinnalta koskien ipv6 6rd palvelua josta olin tehnyt vikailmoituksen toiminnan lakkaamisesta ja viesti telialta oli että ko. palvelu ei pitänyt olla KAMO liittymissä ollenkaan mahdollista mutta kuitenkin se toimi 1,5 vuotta ok mutta nyt sitten sen poistivat joten KAMO liittymän omaavat niin 6rd ei toimi :(
     
  18. Sampo_91

    Sampo_91

    Viestejä:
    17
    Rekisteröitynyt:
    08.01.2017
    Jännä juttu. Siellä on varmaan sitten parametrit vaihtuneet, koska minulla on ethernet-pohjainen, eikä toimi. Saisiko nuo DHCP:ltä? Asuksen reititin osasi ne hakea joskus muinoin.

    Sent from my H8324 using Tapatalk
     
  19. heebo1974

    heebo1974

    Viestejä:
    84
    Rekisteröitynyt:
    03.12.2016
    Minkälaiset asetukset pitää laittaa pfSensessä WAN:iin että voisi kokeilla toimiiko Telian FTTH liittymällä ?
     
    Viimeksi muokattu: 12.07.2019
  20. McPaHa

    McPaHa

    Viestejä:
    54
    Rekisteröitynyt:
    22.06.2017
    Moi!

    Löytäisikö joku / osaisiko auttaa (ei oikein netistä löytänyt vaikka yritin etsiä....) eli haluaisin yhdelle sisäverkon ip:lle tehtyä minimikaistan joka olisi aina vähintään käytössä eikä muut voisi sitä ryöstää...
     
  21. dot1q

    dot1q

    Viestejä:
    683
    Rekisteröitynyt:
    03.05.2018
    Jahas, oliskohan tästä apua. pfSense Guarantee Minimum Upload Bandwidth? : PFSENSE

    Ajatus on siinä että eka bandwidth sääntö on serverille toi minimikaista, ja toka sääntö olis kokonaiskaista. Ja sitte paritat trafficshaperin hoitaa tuon kaistan jaon niin, että vähintään tulee toi minimi yhdelle ja jos tilaa jää, loput on vapaana/tarjolla sille ja muillekin.

    Ei, en ole tehnyt vastaavaa itse ja vaikutti hivenen mutkikkaalta tuo juttu.
     
  22. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Satuimpa löytämään laatikonpohjalta kaverilta saadun pfsense sg-1100 palomuurin. Nyt vain olisi kiva päästä masiinan konsoliin käsiksi katsomaan mikä systeemissä mättää. Webbihallintaan ei pääse ja muurissa kiinni ollut läppäri ei saa dhcp:llä iptä muurilta. Ilmeisesti tuohon vaaditaan joku oma konsolikaapelinsa. Perus konsoliporttiin menevällä usb-kaapelilla yritettäessä ottaa yhteys ainakaan linuxkoneen konsolissa ei näy mitään. Löysin ehkä masiinan oman konsolikaapelin mutta sillä täysin sama juttu. Tekstiä ei tule sarjakonsoliin vaikka painelisi muutaman kerran enteriä. Mitäs seuraavaksi testataan?
     
  23. mikajh

    mikajh

    Viestejä:
    126
    Rekisteröitynyt:
    27.12.2018
  24. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    665
    Rekisteröitynyt:
    17.10.2016
    SG-1100 sarjaporttiyhteyteen riittää normi micro usb piuha. USB laitteissa pitäisi näkyä tuo Profilicin usb-sarjaportti muunnin ja nopeuden tosiaan pitää olla 115200 että tekstiä tulee. Piuhan kytkennän jälkeen katso dmesgillä mikäli tuo usb-sarjportti muunnin tunnistautui oikein ja mikä sen oikea portti on.
     
  25. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 202
    Rekisteröitynyt:
    17.10.2016
    Otin pfSensessä tuon ZFS:n käyttöön ja samalla ZFS n-Way Mirror. Näyttäis toimivan kaikki (pfBlockerNG, FreeRadius, OpenVPN jne.). Eli asensin uudelleen ja palautin konfiksen.
    Täytyy nyt vielä seurata, että kaikki on kunnossa.
     
  26. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    Meneekö yhden levyn asennuksen confis zfs asennetun päälle ?
     
  27. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 202
    Rekisteröitynyt:
    17.10.2016
    Eli tarkoitat, että UFS confis asennetaan ZFS järjestelmään? Jos tuo niin kyllä.

    Itse tein tuon muutoksen seuraavalla tavalla

    1. Confis talteen vanhasta (UFS)
    2. Vanha levy pois koneesta ja uudet 2kpl:tta tilalle
    3. pfSensen asennus ja tuon ZFS n-Way Mirror määritys
    PfSense ZFS n-Way Mirror – Thomas-Krenn-Wiki
    4. Kun pfSense pystyssä niin asensin nuo lisäpaketit (pfBlockerNG, FreeRadius, openvpn-client-export jne.). En konffannu noita mitenkään
    5. Palautin tuon config tiedoston niin pfSense uudelleen asensi nuo paketit.

    Noin lähti itsellä toimimaan. En tiedä oliko tuo lisäpakettien asennus tuossa tarpeellista vai olisiko pfSense asentanut ne itse tuon config palautuksen aikana.
    Tuohon ZFS riittää myös yksi levy.
    Installing and Upgrading — Perform the Installation

    stripe
    A single disk, or multiple disks added together to make one larger disk. For firewalls with a single target disk, this is the correct choice. (RAID 0)
     
    Viimeksi muokattu: 18.07.2019
    timop tykkää tästä.
  28. Gobi

    Gobi Make ATK Great Again

    Viestejä:
    803
    Rekisteröitynyt:
    19.10.2016
    Palautin yhden levyn ZFS-asennuksen kahden levyn ZFS-mirroriin, lisäpaketit konffeineen asentui ilman niiden asentamista erikseen. Siihen oli oma valinta palautusasetuksissa.
     
    timop ja user9999 tykkäävät tästä.
  29. iccb

    iccb

    Viestejä:
    231
    Rekisteröitynyt:
    17.10.2016
    Toi on kyllä todella hyvin tehty pfsensessä. Kun otat conffin talteen ei tartte murehtia mitä paketteja on asenneltu tai oliko se tai tämä mukana asennuksessa, sen kuin pistää palauttamaan niin hommaa toimii kuten aikaisemminkin!!
    IPfiressä joutuu paketit palauttelee ensin ja sen jälkeen erikseen niiden konffit. Toki ei noita koneita usein tarvii vaihdella, mutta kuitenkin. :)
    Itselleni tulee koneen vaihto kohta eteen, mutta taidan pitäytyä siltä IPfiressä... ;)

    Tiedoksi vielä että Fitlet2 kone tulossa myyntiin, kiinnostuneet voi laittaa yksäriä. (Sry, offtopic)
     
  30. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    Tuon takia itse en näe suurta hyötyä pfSensen RAID-virityksille. Siitä on usein lähinnä uptimen katkaisemisen viiväistämistä kuin ehkäisemistä, mikäli levyä ei voi vaihtaa lennosta. Silloinkin koko hyöty on vähän niin ja näin, jos konffis on muutenkin tallella. Harrastusmielessä se on varmasti hauskaa puuhaa, mutta muuten itse en tuhlaisi aikaa, levyjä ja rahoja. :)
     
  31. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Minkälainen konffi sulla on freeradiuksessa. Autentikoivatko klientit käyttäen omia sertejään vai miten olet tuon virittänyt.
     
  32. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    h
    Totta tämäkin ja kun vanha konffi levyn hajotessa on helppo heittää sisään niin en näkisi itse myöskään mirroria välttämättömänä. Itselläni sattui vain olemaan kaverilta lahjoituksena saatu kone missä on kaksi ssd:tä niin tulee zfs mirrori laitettua siihen pyörimään, ja no harrastuksen vuoksihan tuo tulee tehtyä ei sitä voi kieltää.
     
  33. mikajh

    mikajh

    Viestejä:
    126
    Rekisteröitynyt:
    27.12.2018
    Mietiskelin myös milloin esim. ZFS:tä olisi hyötyä. Omat pfSense-purkit ovat olleet niin vakaita, että yhtään havaittavaa tiedostojärjestelmän ongelmaa en muista. Mutta tilanne voisi olla eri jos olisi vaikka usein sähkökatkoja ilman UPSia (minulla ei kumpaakaan). Silloin ZFS voisi olla hyvinkin suositeltava.
     
  34. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    Suosittelen itsekin ZFS:ää ”aina kun mahdollista”-periaatteella. Kyseessä on yksi parhaimmista, ellei paras levyjärjestelmä. :)
     
  35. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 202
    Rekisteröitynyt:
    17.10.2016
    EAP-TLS eli sertit käytössä.

    [​IMG]

    Eli tein omat CA:n, Server sertifikaatin ja Client sertifikaatit
    User Management — Using EAP and PEAP with FreeRADIUS | pfSense Documentation

    Sitten käytin Apple Configuration 2 työkalua johon lisäsin CA.crt ja Client.p12 sertit. Alla olevan kuvan mukaisesti. Tuossa .p12 pitää olla salasana tai tuon .mobileconfig tiedoston asennus ei onnistu macOS ja iOS laitteisiin
    • Client Requires password on .p12
      • If your client will not load the .p12 without a password on it, and space does not work you can add a password with openssl
      • Just download user cert and key vs the p12 and with the ca cert use the following command
      • openssl pkcs12 -export -certfile ca.crt -in user.crt -inkey user.key -out user.p12

    [​IMG]

    Sitten Wi-Fi konfis

    [​IMG]

    Sitten tallennus ja asensin tuon .mobileconfig tiedoston. Se ilmestyy macOS profiles työkaluun.

    [​IMG]

    Noin se lähti toimimaan. Muihin laitteisiin (iOS ja macOS) siirtelin .mobileconfig tiedostot AirDropin yli niin pääsi asentamaan ne.

    Windowssiin löytyy ohjeita:
    Importing user certificate into Windows 10 | Cookbook
    Configuring Windows 10 wireless profile to use certificate | Cookbook

    EDIT:
    Unohtui tuo FreeRadius konffi. En sinne hirveästi muuttanut

    EAP:
    Disable Weak EAP Types: tämä taisi olla oletuksena käytössä?
    Default EAP Type: TLS
    Check Cert Issuer: käytössä
    Check Client Certificate CA: käytössä

    Kaikki muut on oletuksella.
     
    Viimeksi muokattu: 18.07.2019
  36. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 604
    Rekisteröitynyt:
    17.10.2016
    pfBlockerNG:hen vois melkein lisätä pastebinkinkin:


    (Kyle on yksi Hunterss Labin perustajista. Aiemmin työskenteli tietoturvahommissa useita vuosia USA:n armeijalle.)
     
  37. Sampo_91

    Sampo_91

    Viestejä:
    17
    Rekisteröitynyt:
    08.01.2017
    Kysyin asiaa tuolta Telian foorumin puolelta. Siellä oli muutamat asetukset myös, joita kokeilin, mutta nekään eivät toimineet. Liekö tässä nyt sitten pfSenselläkin jotain tekemistä asian kanssa... Ei jaksaisi testata, värkätä ja säätää tuon Edgerouterin kanssa enää, kun siinä oli omat ongelmansa.
     
  38. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Onkos porukalla suositella hyvää neliporttista verkkokorttia pfsensen kanssa käytettäväksi. Itse miettinyt tätä korttia. Ilmeisesti toimii pfsensessä koska intel? Onko muuten pfsensessä mahdollista luoda virtuaalisia verkkolliitäntöjä. ELi siis yhdelle verkkoliitännälle luodaan useampi virtuaalinen aliverkkoliitäntä joilla eri mac-osoite. Tämä onnistui oikein hyvin debianilla ja taitaa onnistua myös freebsdllä joten miksi ei pfsensellä?
    Intel® Ethernet Server Adapter I340-T4 Product Specifications
     
  39. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Asensin muuten tuossa pfsensen uudelleen käyttäen zfs mirroria, ja toimii oikein jees. Konffin palautus ja homma jatkuu taas. Eihän tuosta mitään varsinaista hyötyä ole koska konffin palautus niin nopea toimenpide vaikka levy hajoaisikin. No saadaampa pidettyä uptime kunnossa levyrikkojen yli.
     
  40. khallerz

    khallerz

    Viestejä:
    383
    Rekisteröitynyt:
    20.10.2016
    En tiedä onko relevanttia mutta itsellä on I340-T2 ja toimii täydellisesti.
     
  41. Asiantuntija

    Asiantuntija

    Viestejä:
    1 432
    Rekisteröitynyt:
    19.10.2016
  42. Zetbo

    Zetbo

    Viestejä:
    121
    Rekisteröitynyt:
    16.12.2016
    Itsellä käytössä fitlet2 ja OPNSense. 4GB ja 64GB SSD. OPNsense 19.7 asennus meni ilman mitään kikkailuja sisään. 19.1 piti vähän säätää asennuksen kanssa. Muuten toiminu kun junan vessa ja n. 900Megaa jaksaa imeä DNA gigasella kaapelilla. Hintaa tuli 372e Tietoliikenne- ja turvallisuustuotteet | Wintel Finland Oy
     
  43. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 202
    Rekisteröitynyt:
    17.10.2016
    escalibur ja Zetbo tykkäävät tästä.
  44. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    665
    Rekisteröitynyt:
    17.10.2016
    Tämä meni n. viikossa Texasiin, emaililla tuli kuitti että joo saadaan vika toistettua ja n. viikko meni niin tuli uusi, tällä kertaa Fedex ei edes säätänyt tullauksiaan vaan toi sen suoraan ovelle. Uusi on toiminut kertaakaan kaatumatta.
     
    user9999 tykkää tästä.
  45. MOS6510

    MOS6510

    Viestejä:
    80
    Rekisteröitynyt:
    23.01.2018
    Celeron 4205U on hieman hitaampi kuin Fitlet2:n J3455. Lisäksi Fitlet2 on selvästi pienempi ja lienee halvempi kuin mainittu Shuttle.

    Fitlet2 kuulostaa edelleen paremmalta vaihtoehdolta pienpalomuurikäyttöön.
     
    Viimeksi muokattu: 16.08.2019
    Zetbo tykkää tästä.
  46. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Rupesimpa tässä konffaamaan pfsenseen sertifikaattipohjaista autentikointia freeradiukseen. CA, server sekä käyttäjäsertit on luotu mutta koneet pystyvät silti yhdistämään langattomaan verkkoon ilman sertejä. Missäköhän voisi olla vika. Freeradiuksen eap välilehdeltä on muutettu seuraavat asetukset.
    Disable Weak EAP Types, käytössää
    Default EAP Type: TLS
    Check Cert Issuer: käytössä
    Check Client Certificate CA: käytössä
    Käyttäjäsertit ovat samalla nimellää tehty mikä on laitteiden käyttäjänimi freeradiuksessa.
     
  47. Barbarossa

    Barbarossa

    Viestejä:
    404
    Rekisteröitynyt:
    17.10.2016
    Ehkä tyhmä kysymys, mutta onhan AP konffattu käyttämään tuota RADIUSta autentikointiin eikä esim WPA2-Personal / PSK:ta?
     
  48. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    On konffattu käyttämään radiusta autentikointiin. Ilmeisesti homman pitäisi toimia niin että jos käyttäjälle ei ole asennettu koneellen omaa sertiä hän ei pystyisi liittymään verkkoon. Nyt hommahan ei toimi niin vaan käyttäjä voi liittyä verkkoon kaikesta huolimatta freeradiuksessa luodulla käyttäjätunnuksella, ja salasanalla. Pitääkö freeradiukselle kertoa nuo usersertifikaatit erikseen vai riittääkö että ne luo pfSensen certificate managerilla?