escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 313
Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.PfSense OpenVPN:ssä mielenkiintoinen ominaisuus löytyi liittyen nopeuteen eli ajaa vain yhdellä ytimellä niin saa olla tehokas ydin että jaksaa pyörittää 100Mbps nopeuksilla = PC.
Tarkoitat siis mitä? Jokin ratakisko siirtyy servomoottorin kanssa eri kohtaan ja estää tietyn liikenteen? Mutta mitä, tarvitset silti ohjelmiston ohjaamaan sitä, ellet sitten itse istu ruudun ääressä sekä tarkkaile liikennettä ja itse väännä ratakiskoa oikeaan kohtaan. Voitko avata hieman tarkemmin mitä yrität hakea "oikeasti raudalla toteutetulla palomuurilla"?Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.
Mahtaakohan maailmalla olla oikeasti raudalla toteutettua palomuuria? Ketjussa puhutaan palomuuritoiminnallisuudelle omistetusta PC:stä, mutta ohjelmistopohjainen se on silti. Meinasin alustavasti jo kiinnostua aiheesta.
Juu tuo tuossa on ongelmana. Openvpn Access Server tuotteessa on Multi-Daemon Mode helpottamassa jos useita käyttäjiä. En tiedä onko tuota näissä Community versiossa.
Multi-Daemon Mode - OpenVPN Support Forum
Pari kuvaa omasta Openvpn Access Serveristä:
Ovpn tiedostoon tuo lisää remote osoitteet seuraavasti. Eli TCP on vain kerran.
Juu nyt asennettu pfSense ja ei ole ongelmia tuon Zotac koneen kanssa.
Testasin tuon pfSensen openvpn palvelun, mutta en ottanu sitä käyttöön. Asensin virtuaaliin Ubuntu Server 16.04 ja siihen Openvpn Access Server. On jo monta vuotta tullu käytettyä tuota Access Serveriä niin sen konffaus tulee selkärangasta.
Jostakin kummasta syystä pääsen parempiin nopeuksiin tuolla virtuaalisella Access Serverillä vs. pfSense Openvpn. En tiedä mistä johtuu ja en viitsi sitä sen tarkemmin selvittää.
Nyt pari viikkoa testiä eli miten pfSense toimii.
tun-mtu 9000
fragment 0
mssfix 0
cipher aes-256-cbc
engine aesni
Täytyy kokeilla vielä jossain vaiheessa säätää tuota openvpn palvelinta. Nyt se on liian tiukaksi säädetty.Jossain openvpn-konffissa oli:
Noista kolme ensimmäistä oli merkittäviä raudasta riippumatta.Koodi:tun-mtu 9000 fragment 0 mssfix 0 cipher aes-256-cbc engine aesni
Mitä muuten menee reitittimestä läpi ilman openvpn:ää? (Eli port forward:lla.)
fast-io
sndbuf 393216;
rcvbuf 393216;
Mikä virtuaalisofta sulla käytössä ja millainen host?Tääläpä tehty kovia nopeuksia. Itse ajan Pfsenseä virtuaalipalvelimella ja OpenVPN:llä yhdellä corella noin 100Mbps maksimia juuri ja juuri. 1Gbps on linkki molempiin suuntiin mutta taitaapi tarvita jo ihan delikoidun laitteen jos tollaisiin 400Mbps haluaa päästä.
Mikä virtuaalisofta sulla käytössä ja millainen host?
Mulla pyörii Openvpn Access Server (Ubuntu Server 16.04) vielä käyttämättömänä Vmware Fusion Professional 8.5.8 päällä. Fusion pyörii macOS Sierra serverin päällä (Mac Mini late 2012, 16GB, i7-3615QM 2.3GHz).
Voisin jossain vaiheessa testata mihin nopeuksiin tuolla pääsee.
Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xxPfsense nyt on käytössä, Proxmox alustana, Dell R610 serverinä sielä alla, 2x Xeonia, 48GB RAM. Vähän pitäisi saada single core performancea, pfsense openvpn ilmeisesti ajaa vaan yhdellä ytimellä joka siis rajoittaa jotenkin tota... Mutta toisaalta minulle riittää 100Mbps linkkikin kun pääasiassa sellaiset yhteydet on.
Katoin niin tuo Dell R610 tukee Quad-core or six-core Intel® Xeon® processors 5500 and 5600 series. Onko mitkä prossut tuossa Dellissä? Noissa Xeon 56xx
sarjalaisissa tuli vasta AES-NI tuki.
AES instruction set - Wikipedia
En sitten tiedä, miten virtuaali tuota AES-NI juttua käyttää.
Juu riittää tuo 100Mbps paremmin kuin hyvin eli turhaa alkaa palvelinta sen takia uusimaan PfSense 2.5 vaati sitten jo AES-NI prossut.Katos perhana kun on 2x E5504 niin eipä tukea löydy... Jospa jossain vaiheessa uudempaa rautaakin... Mutta kelpaa toi 100Mbps nyt päivittäisessäkin käytössä.
Juu riittää tuo 100Mbps paremmin kuin hyvin eli turhaa alkaa palvelinta sen takia uusimaan PfSense 2.5 vaati sitten jo AES-NI prossut.
pfSense 2.5 and AES-NI
Millä ohjeella olette asentaneet openvpnn pfsenseen?
Millä ohjeella olette asentaneet openvpnn pfsenseen?
Itsellä pyörii pfSense ihan ok tuon Zotac ZBox IQ01 päällä. Tuossa vain kaksi verkkokorttia (Realtek) niin täytyy jossain vaiheessa rakentaa tuohon pfSense käyttöön kone, jossa enemmän verkkokortteja. Saa dual wanin toimimaan.Pfsense tuli laitettua vanhaan Lenovon desktoppiin nyt ensihätään (i5-2400,4Gt,500Gt), pitää katsella jotain vähävirtaisempaa vaihtoehtoa kunhan ehtii. Tilailin siihen lisäksi 2kpl Intelin 2-porttisia verkkokortteja, joten portteja on käytössä nyt yhteensä 5kpl. Aiemmin käytössä ollut RT-AC66U siirtyi hoitamaan pelkkiä wlan-tehtäviä. Ainut erikoisempi konffi on neljä toisistaan eristettyä verkkoa ja jatkossa openvpn. Väittäisin myös nettiä pirteämmäksi kuorman alla kuin tuolla Asuksen reitittimellä. Tuohon vielä kylkeen pari kunnon vlanit ja link aggregationit hanskaavaa kytkintä niin alkaa olla kotiverkkokin kunnossa
Tunnel networkkiin tuo 10. alkuinen. Mihin laitteeseen yrität yhdistää sisäverkossa? Onko siinä palomuuri?ei oikein selviä mitä tuohon tunnel network kohtaan pitäisi laittaa?
jos laitan 10.0.8.0/24 verkon niin yhdistää mutta ei pääse sisäverkkoon, laitoin local network kohtaan tuon 192.168.1.0/24.
jos taas laitan tunnel network kohtaan tuon 192.168.1.1/24 niin ei yhdistä.
verkkoni on siis tuo 192.168.1.0/24 jossa tuo .1 on pfsense.
Tuolla Dovado Pro, Huawei E3372 ja pfSense yhdistelmällä on ollut jotain ongelmaa.Moi!
Löytyisikö tätä kautta jeesiä pfsense + Huawei E3372 ongelmaan kun ei meinaa lähteä tulille. 4G yhteys on ainoa järkevä nopeusvaihtoehto missä asun ja nyt pitäisi saada samalla purnukalla toimimaan sekä pfsense että mokkulan hanskaus.
E3372 FW on 22.286.03.00.17.
Pitäisikö edelleen kuitenkin koittaa laittaa Dovado Pro bridge tilaan ja hoitaa homma sitä kautta? Aikaisemmin kun kokeilin niin aina kun pfsense päivitti dhcp:lla wan-puolen osoitettaan niin yhteys meni jumiin (noin vuosi sitten tuli kokeiltua). Samanmoista ongelmaa on muutama viesti tuolla pfsense-foorumilla.
Toisena vaihtoehtona voisi ehdottaa mahdollisimman halpaa 4G modeemia joka osaisi bridge-tilan jos korvaisin tuon Dovadon (jos siinä edelleen samoja ongelmia pfsensen kanssa).
Täällä Interestin behaving with Dovado Pro vähän kuvattuna ongelmaa pfsense - dovado pro.
Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:Terve
Rakentelen tässä pfSenseen kaksivaiheista autentikointia käyttäen MOTP:tä. Kyseessä siis tämä
Mobile One-time Passwords with FreeRADIUS - PFSenseDocs
Olen varmistanut että puhelimen joka luo kertakäyttöisen salasanan offset time sekä freeradius palvelimen offsettime ovat samat. Eli nolla. Security key on pfSenseen näpytelty se minkä mobiililaite luo. Kuitenkin kun yritän kirjautua openvpn käyttäen puhelimella luotua koodia saan logiin viestin
Jul 30 17:44:36
radiusd
55619
(1) Login incorrect (Failed retrieving values required to evaluate condition): [labra/260620] (from client vpn port 1195)
Jul 30 17:45:36
root
FreeRADIUS: Authentication failed! Mobile-One-Time-Password incorrect. 1 attempts left.
Jul 30 17:45:36
radiusd
55619
(2) Login incorrect (Failed retrieving values required to evaluate condition): [labra/76a936] (from client vpn port 1195)
Itseltäni alkavat ideat loppua mikä tässä voisi olla vikana. Normaalisti salasanalla ja käyttäjätunnuksella openvpn autentikointi toimii oikein hyvin ja kivuttomasti. Mistä lähteä ratkaisemaan ongelmaa. Freeradiuksen versio jota käytän on freeradius3-3.0.15. Olen kokeillut myös google authentikatoria kun sellainen vaihtoehto on myös pfSensessä nykyään sama ongelma. Pinkoodi pfSense mielestä väärä.
Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:
NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools
Katselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.Ainakin Google Authenticator on tarkka, että palvelin ja päätelaite ovat samassa ajassa. Esim. openvpn access serverissä:
NOTE: When using Google Authenticator, the Access Server system time must be precisely set. This can be done by installing the NTP daemon on the Access Server machine. For example, on Ubuntu/Debian systems:
OpenVPN Access Server Command-line Tools
Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.orgKatselin pfSensen ntp asetuksia. Ntp palvelimena toimii googlen serveri google.com. Eli sama kuin google authenticatorissa. Mielenkiintoista eli kaiken järjen mukaan jos android ja pfSense ottavat samalta palvelimelta aikatiedon. Niiden pitäisi olla oikeassa ajassa.
Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.Siis pelkkä google.com eikä time.google.com tai time1.google.com? Itse käyttäisin mielummin 0.fi.pool.ntp.org 1.fi.pool.ntp.org
En lupaa, mutta voin tuota testata jossain vaiheessa. Tilasin just tänään uutta pfSense rautaa ja osat saapuu varmaan ensiviikon alussa. Tuo kun pystyssä niin voin kokeilla tuolla vanhalla zotac koneella, jossa pfsense.Nyt vaihdoin palvelimiksi nuo 0.fi.pool.ntp.org sekä 1.fi.pool.ntp.org. Katsotaan auttaako mitään. Jos jollain olisi aikaa ja viitseliäisyyttä kokeilla omalla pfSensellään tuota otp autentikointia niin olisi kova juttu. Näin saataisiin selvitettyä onko ongelma täällä meikäläisen päässä vaiko pfSensen freeradius paketissa.
Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.Tuo ajan voi katsoa pfSensessä command promptissa eli date käsky. Näyttää vain sen hetkisen ajan, mutta sitä voi verrata samaan aikaan laitteeseen (puhelin), missä esim. Google Authenticator softa.
Itsellä oli joskus puhelimen kello väärässä ajassa vs. palvelin (Openvpn Access Server) Muistelen, että oli reilu 10s edellä tai jäljessä niin tuli noita kirjautumisvirheitä välillä. En tiedä mistä iPhone aikaa hakee. Hakiskohan operaattorilta (en tiedä), mutta ongelma korjaantui samana päivänä.
Siinä näkyy aikavyöhyke ennen vuosilukua, onko se EEST?Nyt menee mielenkiintoiseksi pfSense kello date komennolla katsottuna on oikein. Mutta androidin kello date komennolla katsottuna on 3 tuntia jäljessä. Kuitenkin lukitulla näytöllä oleva kello näyttää kellon ajan täysin oikein. Mikäköhän nyt voisi olla ´vikana. Androidin asetuksissakin näkyy kellonaika oikein. Ainoastaan date komennolla katsottuna väärin.
Ei ole vaan GMT. Miten tuon voisi muuttaa. Puhelimen asetuksissa kaikki näkyy oikein.Siinä näkyy aikavyöhyke ennen vuosilukua, onko se EEST?
Testaa ottaa automaattinen aikavyöhyke pois ja koita asettaa se manuaalisesti GMT+3. Jos ei toimi niin testaa ottaa hetkeksi automaattinen päivä ja aika pois päältä. Jos ei toimi niin käynnistä puhelin uudelleen.Ei ole vaan GMT. Miten tuon voisi muuttaa. Puhelimen asetuksissa kaikki näkyy oikein.