• Live: io-techin pikkujoulu- ja hyväntekeväisyysstriimi tänään alkaen klo 19. Pelataan io-techin toimituksen kesken PUBGia ja tavoitteena saada 10000 euroa täyteen Pelastakaa Lapset ry:n joulukeräykseen! Tule mukaan katselemaan ja keskustelemaan! Linkki lähetykseen >>

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

OpenVPN reikä.
OpenVPN 2.5.2 julkaistu jo. Pfsensessä OpenVPN 2.5.1.

openvpn-2.5.1 is vulnerable:
openvpn -- deferred authentication can be bypassed in specific circumstances
CVE: CVE-2020-15078
WWW: VuXML: openvpn -- deferred authentication can be bypassed in specific circumstances

Saa nähdä koska tulee päivitys..

vulnxml file up-to-date
curl-7.74.0 is vulnerable:
curl -- TLS 1.3 session ticket proxy host mixup
CVE: CVE-2021-22890
WWW: VuXML: curl -- TLS 1.3 session ticket proxy host mixup

curl -- Automatic referer leaks credentials
CVE: CVE-2021-22876
WWW: VuXML: curl -- Automatic referer leaks credentials

openvpn-2.5.1 is vulnerable:
openvpn -- deferred authentication can be bypassed in specific circumstances
CVE: CVE-2020-15078
WWW: VuXML: openvpn -- deferred authentication can be bypassed in specific circumstances

dnsmasq-2.84,1 is vulnerable:
dnsmasq -- cache poisoning vulnerability in certain configurations
CVE: CVE-2021-3448
WWW: VuXML: dnsmasq -- cache poisoning vulnerability in certain configurations

mysql57-client-5.7.32 is vulnerable:
MySQL -- Multiple vulnerabilities
WWW: VuXML: MySQL -- Multiple vulnerabilities

5 problem(s) in 4 installed package(s) found.

Missä tilanteessa tämä openvpn on riskinä? Onko tämä ongelmana perus käytössä vai pitääkö olla jotain custom asetuksia/lisäosia asennettuna, että tämä on uhkana?

Minulle jää vaikutelma, että vaatii jotkin erityis asetukset ennen kuin tuo hyökkäys on käytettävissä.
 
Mielenkiintoinen tuote DFI:lta, jos joku vielä muistaa tämän ”LAN Party”-valmistajan. :)

Vaihdettava prossu, 2x Intel 1Gb, fanless, max 32GB RAM:us yms.

 
Onko muillakin pfSensessä sitä että se lahoaa satunnaisesti päivityksissä siten että pitää asentaa asennusmedialta uusiksi. Vai onko itselle sattunut vaan huono tuuri että muutaman kerran vuodessa tuon saa vetää uusiksi asennusmedialta päivityksessä hajoamisen takia. Asetukset kyllä löytää aina vanhasta ja toki backupit toimii. Toki vuosien mittaan pari kiintolevyä on hajonnut myös. Mutta nyt vartavasten ostettu ssd levy joka näytti ehjältä.
 
Kaks pfSenseä ehti olla vanhoilla Intel SSD levyillä. Ei yhtään tuollaista kuvauksen mukaista ongelmaa ole tullut vastaan.
Toinen näistä yhä käy ja kukkuu. Toisen tilalla, samassa SSD:ssä, eri raudassa, on OpnSense. Edellisen raudan osalta toinen verkkokortti lopetti toimimasta 1000Mbps profiilin kanssa. 100Mbps tilassa toimi, mutta sepä ei riitä tällä nettinopeudella..
 
Onko muillakin pfSensessä sitä että se lahoaa satunnaisesti päivityksissä siten että pitää asentaa asennusmedialta uusiksi.
En tunnusta, jostain 2.2 tai ainakin 2.3 -versiosta asti käyttänyt (mikä on pidempi aika kuin voisi versionumeroista luulla kun nyt on vielä 2.4.5p1). Nykyinen taitaa olla rautakokoonpanoista kolmas, ensimmäinen uusista osista tähän tarkoitukseen. Matkan varrella on mennyt yksi poweri ja yksi winsu ainakin.

Päivityksissä on sattunut jotain, mutta koskaan ei ole tarvinnut lähteä uuteen asennukseen, mikä ei sinänsä ole iso juttu. Nykyiseen kokoonpanoon siirsin konffin edellisestä modaten lähinnä interface-nimet. Vaiherikkain oli 2.4.5p1:n betatestiversiot, joista yksi meni boottilooppiin, mutta sitä ei lasketa ja sekin oli triviaalia korjata.
 
Onko muillakin pfSensessä sitä että se lahoaa satunnaisesti päivityksissä siten että pitää asentaa asennusmedialta uusiksi. Vai onko itselle sattunut vaan huono tuuri että muutaman kerran vuodessa tuon saa vetää uusiksi asennusmedialta päivityksessä hajoamisen takia. Asetukset kyllä löytää aina vanhasta ja toki backupit toimii. Toki vuosien mittaan pari kiintolevyä on hajonnut myös. Mutta nyt vartavasten ostettu ssd levy joka näytti ehjältä.
Ei koskaan ole ollut vastaavaa, 2017 lähtien ollut pfSense käytössä ja kolme eri laitetta ehtinyt matkan varrella olla.
Jokaisen laitteen kanssa on riittänyt, että kerran tekee asennuksen medialta.
Ja olen vielä niitä, jotka asentavat kaikki päivitykset ~heti kun ne julkaistaan, joten bugisiakin on sattunut kohdalle. Mutta varmaan myös tuuria, kun ei ole isompia ongelmia sattunut.
 
En tunnusta, jostain 2.2 tai ainakin 2.3 -versiosta asti käyttänyt (mikä on pidempi aika kuin voisi versionumeroista luulla kun nyt on vielä 2.4.5p1). Nykyinen taitaa olla rautakokoonpanoista kolmas, ensimmäinen uusista osista tähän tarkoitukseen. Matkan varrella on mennyt yksi poweri ja yksi winsu ainakin.

Päivityksissä on sattunut jotain, mutta koskaan ei ole tarvinnut lähteä uuteen asennukseen, mikä ei sinänsä ole iso juttu. Nykyiseen kokoonpanoon siirsin konffin edellisestä modaten lähinnä interface-nimet. Vaiherikkain oli 2.4.5p1:n betatestiversiot, joista yksi meni boottilooppiin, mutta sitä ei lasketa ja sekin oli triviaalia korjata.
Nyt päivityksen jälkeisessä bootissa sieltä puuttui osa tiedostoista ja valitti parsinta virheitä eikä se konsolikaan koneen ääressä toiminut. Ei suostunut juuri mikään numerovalinta toimiin. Ei edes rebootin eikä tehdasasetukset. Oikeastaan ainut toimiva oli shelliin pääsy. Nyt oli päivitys 2.4.xxx -> 2.5.1 joka kosahti. Ja taas kun asennusmedialta hae vanha konfi ja melkeimpä enteriä hakkaamalla niin palautu taas toimivaksi. Toki olisihan noi autobackupissa sekä filenä ollut muutenkin talles.
 
Nyt päivityksen jälkeisessä bootissa sieltä puuttui osa tiedostoista ja valitti parsinta virheitä eikä se konsolikaan koneen ääressä toiminut. Ei suostunut juuri mikään numerovalinta toimiin. Ei edes rebootin eikä tehdasasetukset. Oikeastaan ainut toimiva oli shelliin pääsy. Nyt oli päivitys 2.4.xxx -> 2.5.1 joka kosahti. Ja taas kun asennusmedialta hae vanha konfi ja melkeimpä enteriä hakkaamalla niin palautu taas toimivaksi. Toki olisihan noi autobackupissa sekä filenä ollut muutenkin talles.
Mikä tiedostojärjestelmä käytössä. UFS saattaa hajota helpommin jos laitteesta häviää virrat tms. ZFS on parempi.
Most customers that reported this problem to us said that it appeared right aftter a sudden electricity outage. One customer reported that it happened during a pfSense upgrade.
 
Viimeksi muokattu:
Mikä tiedostojärjestelmä käytössä. UFS saattaa hajota helpommin jos laitteesta häviää virrat tms. ZFS on parempi.
Most customers that reported this problem to us said that it appeared right aftter a sudden electricity outage. One customer reported that it happened during a pfSense upgrade.
Ei ole virrat hävinneet kertaakaan kun isoakkusen upsin takana. Ja tarkemmin katsoen niin ei ollutkaan tiedostot puuttuneet vaan parsinta erroreita monessa tiedostossa joka hajottanut pfsensen.
 
Oli tuossa pfSensen ZFS joku päivitys.

Tarkistin käskyllä zpool status
Koodi:
pool: zroot
state: ONLINE
status: Some supported features are not enabled on the pool. The pool can
    still be used, but some features are unavailable.
action: Enable all features using 'zpool upgrade'. Once this is done,
    the pool may no longer be accessible by software that does not support
    the features. See zpool-features(7) for details.
scan: none requested
config:

    NAME        STATE     READ WRITE CKSUM
    zroot       ONLINE       0     0     0
      mirror-0  ONLINE       0     0     0
        ada0p3  ONLINE       0     0     0
        ada1p3  ONLINE       0     0     0

errors: No known data errors

Sitten käsky zpool upgrade zroot
Koodi:
This system supports ZFS pool feature flags.

Enabled the following features on 'zroot':
  large_dnode
  spacemap_v2
  allocation_classes

If you boot from pool 'zroot', don't forget to update boot code.
Assuming you use GPT partitioning and da0 is your boot disk
the following command will do it:

    gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 da0

Koneelle bootti ja sitten uudelleen zpool status
Koodi:
pool: zroot
state: ONLINE
scan: none requested
config:

    NAME        STATE     READ WRITE CKSUM
    zroot       ONLINE       0     0     0
      mirror-0  ONLINE       0     0     0
        ada0p3  ONLINE       0     0     0
        ada1p3  ONLINE       0     0     0

errors: No known data errors

:comp:

Edit: Jos sama tilanne ja ajatuksena päivittää niin huomioikaa ennen boottia tuo "don't forget to update boot code". Ettei käy niin, että laite ei boottaa.
Käsky gpart show
Koodi:
=>       40  488397088  ada0  GPT  (233G)
         40     409600     1  efi  (200M)
     409640       2008        - free -  (1.0M)
     411648    4194304     2  freebsd-swap  (2.0G)
    4605952  483790848     3  freebsd-zfs  (231G)
  488396800        328        - free -  (164K)

=>       40  488397088  ada1  GPT  (233G)
         40     409600     1  efi  (200M)
     409640       2008        - free -  (1.0M)
     411648    4194304     2  freebsd-swap  (2.0G)
    4605952  483790848     3  freebsd-zfs  (231G)
  488396800        328        - free -  (164K)

 
Viimeksi muokattu:
Mitäköhän olen mokannut:

1621614244786.png

1621614332695.png


Minulla on DNA Kaapelinetti 1000/100.
 
Viimeksi muokattu:
Joskus vuosituhannen alussa (01-02) virittelin pöytälaatikkoon emolevyn ja tykötarpeet (olikohan joku i386DX, muutama Mt muistia ja joku kymmenen/sata Mt levyä, poweri ja pari 3C509B ISA-väyläistä verkkokorttia) pyörittämään Smoothwall v1.0/2.0 palomuuria ADSL-yhteydellä, olikohan se ADSLkin alkuun 512kbps. Muutama vuosi tuota tuli pyöritettyä ilman suurempia ongelmia aina v3.0 tuloon asti.

Noin 15v tehdaspurkkien käytön jälkeen pistin nyt pystyyn pfSense 2.5.1:n SER-rullakosta kaivettuun rautaan: HP Elitedesk 8200 SFF, i5-2500, 8Gt, 120Gt SSD ja lisäksi uusi Intelin Pro/1000 verkkokortti emolle integroidun Intelin rinnalle. Yhteytenä toimii Zyxel LTE7490 sillattuna 100Mbps liittymällä ja pfSensen jälkeen verkkoa jakaa vanha Procurve 2610-24 kytkin (riittää tälle yhteydelle) ja muutaman langattoman hoitaa Asus RT-AC66u access pointtina. pfSense hoitaa OpenVPN-yhteyden ulkoapäin jolla pääsen tarvittaessa kotiverkkoon ja valvontakameran livekuvaan/tallennuksiin yms. pfBlockerNG vielä lisäksi niin mitäpä sitä muuta tarvitsee. Aiemmin modeemin ollessa yksinään esiintyi satunnaista tahmausta/katkoksia, nyt verkko pelaa kuin se kuuluisa junan vessa.

Ja juu, varmasti löytyy vähävirtaisempia/hiljaisempia koneita pyörittämään pfSenseä. Nyt TV/vahvistin valmiustilassa, Asus + Procurve sekä pfSense käytössä vievät n.60W yhteensä. Sanoisin että "bang for the buck".
 
pfSense vs. OPNsense - with Lawrence Systems!

Pahoittelen otsikkoa, mut oli pakko ehtiä ennen muita postaamaan tää kun täällä on ollu pientä "vertailua" noiden kahden kesken :D.

 
pfSense vs. OPNsense - with Lawrence Systems!

Pahoittelen otsikkoa, mut oli pakko ehtiä ennen muita postaamaan tää kun täällä on ollu pientä "vertailua" noiden kahden kesken :D.



Todellakin, ehdottomasti tärkeintä on olla ensimmäisenä postaamassa näitä videolinkkejä. Ei tarvitse edes asiaa pohjustella sen enempää koska kaikillahan on mielenkiintoa katsella random videoita.
 
Todellakin, ehdottomasti tärkeintä on olla ensimmäisenä postaamassa näitä videolinkkejä. Ei tarvitse edes asiaa pohjustella sen enempää koska kaikillahan on mielenkiintoa katsella random videoita.

Ensinmäinen lause tuossa mun postauksessa: "pfSense vs. OPNsense - with Lawrence Systems!"

Mikä kohta jäi epäselväksi? Luetun ymmärtäminen?
 
Ensinmäinen lause tuossa mun postauksessa: "pfSense vs. OPNsense - with Lawrence Systems!"

Mikä kohta jäi epäselväksi? Luetun ymmärtäminen?

Ei tuo ohimennen heitetty lainaus jostakin kerro yhtään sen enempää kuin tuo YT thumbnailikaan.

Arvioidaanko videolla kenties eroavaisuuksia käytettävyydessä? Testataanko konkreettisesti molempien suoriutumista? Vertaillaan katu-uskottavuutta? Muuten vaan asetetaan nuo vastakkain ja mielipidepohjalta arvioidaan kumpiko on siistimpi juttu?
 
Minkäslaisia mielipiteitä ja kokemuksia Tekkiläisillä on palomuurin ajosta virtualisoituna? Itsellä oli lähinnä pohdintana proxmox ja useampi pfSense virtualisoituna samalla raudalla. Netistä löytyy kahdenlaista mielipidettä joista vastaan olevat perustelevat kantaansa tietoturvariskillä sekä suorituskykyongelmilla.
 
Ihan hyvin on pfSense virtuaalikoneessa. Onhan siinä säätöä että saa kaikki toimimaan. Alla kannattaa olla suhteellisen tehokas kone niin ihan vikkelästi toimii. Kyllähän se on ekotekokin ajaa kolmea(?) virtuaalikoneita vs. kolme erillistä rautaa.

Ei kait siinä suurempia tietoturvariskejä pitäisi olla. Ainoa suurempi riski on että aika monimutkain systeemi ja helposti jää joku asetus väärin aiheuttaen turhia riskejä.
 
Ihan hyvin on pfSense virtuaalikoneessa. Onhan siinä säätöä että saa kaikki toimimaan. Alla kannattaa olla suhteellisen tehokas kone niin ihan vikkelästi toimii. Kyllähän se on ekotekokin ajaa kolmea(?) virtuaalikoneita vs. kolme erillistä rautaa.

Ei kait siinä suurempia tietoturvariskejä pitäisi olla. Ainoa suurempi riski on että aika monimutkain systeemi ja helposti jää joku asetus väärin aiheuttaen turhia riskejä.
Osaatko yhtään avata mitä erityistä säätöä tuossa voi olla edessä vs normaali os virtualisointi?
 
pohdintana proxmox ja useampi pfSense virtualisoituna samalla raudalla.
Mulla on proxmox käytössä, tosin puoliksi leikkikaluna.
Asennus ja säätö on illan opettelun jälkeen jopa mulle melko helppoa.
Yhden PfSensen asennus on yksinkertaita mutta useammalla samanaikaisella ehkä sais olla useampi LAN portti.(tietysti riippuu aliverkoista)
Jos sulla on joku vaikka SER kone suosittelen kokeilemaan.

PfSense oli mulla hetken netissä uppi tais olla heikko (pentium prossu?) sekä en pitänyt että reititin (ja DHCP) on välillä boottia (harvoin) vaativassa järjestelmässä.

Koneina mulla OMV NAS, WinXP (aktivex) PfSense sekä testikoneita.

Joku taitaja voisi aloittaa erillisen ketjun virtuaalikoneista.
 
Oisko jollain antaa vinkkiä miten sais proxmoxissa tehtyä zone jossa jossa tietyt virtuaalikoneet eivät näe toisiaan ainoastaan pääsy vain nettiin.
 
pfSensessä on tuo gatewayn pingaus, mutta 5G mokkulassa se on itse mokkula 1ms ajalla eikä kauempana oleva. Mitä ulkoista IP:tä olette mokkulayhteyksissä käyttäneet siinä? Kolmas "hop" ei vastaa ja neljäs taitaa jo vaihdella lopullisen kohteen mukaan. En tiedä onko esim. nimipalvelimen pingaus suositeltavaa/"sopivaa".
 
Itse laitoin vuosi takaperin monitor-urliksi 1.1.1.1 ja toiseen wan-yhteyteen 8.8.8.8. Ei toistaiseksi ole tullut false positiveja.
 
Päivitin tuon 2.5.2. FreeRadius pakettiin oli samaan aikaan päivitys. Päivitin ensin tuon pfSensen niin FreeRadius jäi alas. Nousi ylös kun päivitti tuon FreeRadiuksen.
PfBlockerNG:ssa jotain ongelmaa. Ei auta force reload. Täytyy tutkia tuo py_error.log.
1625653531892.png

Ajatuksena on poistaa tuo PfBlockerNG kokonaan kun on NextDNS käytössä.

py_error.log
Koodi:
2021-07-07 13:02:24,840|ERROR| [pfBlockerNG]: Failed to load python module 'maxminddb': No module named 'maxminddb'
2021-07-07 13:02:24,840|ERROR| [pfBlockerNG]: Failed to load python module 'sqlite3': No module named '_sqlite3'
 
Viimeksi muokattu:
Korjaus tuohon pfBlockerNG python module ongelmaan.
1625655010396.png


Edit: pkg audit -F käsky.
Koodi:
vulnxml file up-to-date
0 problem(s) in 0 installed package(s) found.
Paikattu kaikki haavoittuvuudet :tup:
 
Viimeksi muokattu:
Päivitin tuon 2.5.2. FreeRadius pakettiin oli samaan aikaan päivitys. Päivitin ensin tuon pfSensen niin FreeRadius jäi alas. Nousi ylös kun päivitti tuon FreeRadiuksen.
PfBlockerNG:ssa jotain ongelmaa. Ei auta force reload. Täytyy tutkia tuo py_error.log.
1625653531892.png

Ajatuksena on poistaa tuo PfBlockerNG kokonaan kun on NextDNS käytössä.

py_error.log
Koodi:
2021-07-07 13:02:24,840|ERROR| [pfBlockerNG]: Failed to load python module 'maxminddb': No module named 'maxminddb'
2021-07-07 13:02:24,840|ERROR| [pfBlockerNG]: Failed to load python module 'sqlite3': No module named '_sqlite3'

Itelläkin toi pfBlockerNG antoi päivityksen jälkeen ton keltasenympyrän huutomerkillä, mut mulla auttoi force update ja force reload. Oiskohan se alkuperäinen ongelma saatu jo ratkaistua?
 
Eilen iltapäivällä päivitin omani ilman minkäalaisia ongelmia. Myös pfBlockerNG toimii ilman hälytyksiä. Ajoin Force Reloadin ja sekin meni läpi ongelmitta.
 
SG-1100 / PFSense+ oli kadonnut pari kirjastoa, joista tuli diagnostiikka varoituksia, onneksi ei mitään kriittisiä koska muuri kuitenkin toimi. Nyt jaksoin pyytää tuesta firmis filen ja flashata sen USB tikulta. Ei tuo ihan pommin varma laite ole ollut vaikkakin downtimea ei juurikaan ole ollut. Nyt tuo näyttäisi myös tukevan hardware crypto piiriä, jos sille keksis jotain käyttöä.
 
Poistin tuon pfblockerng paketin. Uncheck "Keep Settings" niin lähti aika hyvin pois.

Muutaman Cron jobin joutui poistamaan manuaalisesti kun tunnin välein tuli sähköpostia

Cron <root@pfsense> /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php cron >> /var/log/pfblockerng/pfblockerng.log 2>&1
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>

/bin/sh: cannot create /var/log/pfblockerng/pfblockerng.log: No such file or directory
 
Viimeksi muokattu:
pfSensen osalta olen edelleen samaa mieltä, että palomuuri on turvallinen ja luotettava niin kauan kunnes toisin todistetaan. Wireguardin koodi oli huono ja siihen reagoitiin. Seurataan tilannetta.
Itse käyttäny Pfsenseä jo toista vuotta ilman suurempia ongelmia.
Nyt asensin openwrt:n reitittimeen joka saanu viimeisen päivityksen 2018.
Netgatella on oikeasti hyvä toimintatapa virheiden korjaamiseen ja reagointiin, toki sielläkin paljon pohjautuu luotetun miehen työhön joka suurelta osin ohittaa suuremmat testukset.
Mutta koska siellä on hyvin ammattitaitoisia koodaajia ei itsellä ole ollenkaa huono luottamus turvalisuuteen. Tässä tapaksessa ongelma oli että huono ohjelma osa tuli ulkopuolelta ja luotettavalta taholta joten ei kukaan odottanu että sieltä voisi tulla roskaa. Jos Jim Pingle lähtee sieltä ei taso varmasti pysty yhtä hyvin hallinnassa, toki siellä muitakin päteviä mutta ei yhtä aktiivisia.

Ei ole virrat hävinneet kertaakaan kun isoakkusen upsin takana. Ja tarkemmin katsoen niin ei ollutkaan tiedostot puuttuneet vaan parsinta erroreita monessa tiedostossa joka hajottanut pfsensen.
Ainoa syy itsellä ollu että virrat katkeili testatessa ja laite meni uudelleen asennustilaan, nyt ollu jatkuvasti virrat päällä niin ei mitään ongelmaa ollu vaikka kiinan vehje ja kiinan ssd.
Kannattaa tarkkailla pääsivun uptimea aika ajoin jotta sekoboottaukset jää pois laskuista.



Openwrt on alkanu herättää enemmän huolta, siellä näyttää että tarkastusta siellä ei ole ollenkaa ja bugi metsästys on pelkästään käyttäjien harteilla ja jos käyttäjssä ei ole aktiivisuutta ei tuotteessa vikaa ole. Jokainen näyttää koodailevan pelkästään omiaan ja mitään bugi hallintaa ei käytännössä ole.

e. en huomannu että openwrt oma ketju
 
Viimeksi muokattu:
pfSense 2.4.5p1 päivitetty ilman suurempaa draamaa 2.5.2:een, vaikka konffis ei ole ihan yksinkertainen.
Multi (triple) WAN-setupissa tosin Default gateway piti vaihtaa WAN"2":sta "1":een. Muuten jälkimmäiseen ei routtaantunut liikennettä, vain ping-testi toimi, sekä liikenne WAN"2":een + "3":een. Nuo on pääasiallisesti gw groupissa samoilla prioilla.

Hauska bugi Dashboardin Traffic Graphs:ssa: käppyrät näyttää puolta todellisesta nopeudesta DL ja UL -suuntaan (Inverse: On, Unit Size: Bits)
Meinasin jo haukkua Elisan pataluhaksi että nytkö se VDSL2 on alennettu 25/5:een, mutta ei, on se vielä 50/10

Löytyy sieltä oikeakin asteikko/lukemat. Vasemmalla Status/Dashboard, oikealla Status/Traffic Graph
1626188656068.png
 
Viimeksi muokattu:
Päivitin itse hiljattain palomuurin OpnSense 21.8.1-versioon ja samalla päivittyi OpenVPN versioon 2.5.3-versioon. Huomasin nyt, että OpenVPN serveri ei enää toimikaan. Oliko tässä OpenVPN:n uusimmassa versiossa jotain sellaisia muutoksia, jotka vaativat asetusmuutoksia omalla palvelimella?
 
Serveri ei toimi vai ei ole enää yhteensopiva vanhojen clientien kanssa? (Jos edellinen serveri oli 2.4, niin mitä versioita clientit: 2.3? 2.4?) Ks. Important notices: Community Downloads | OpenVPN

Niin, totta voihan se vika olla clientinkin puolella. Olettaisin vaan että se on serverin päässä, kun mikään client ei tuon uusimman päivityksen jälkeen yhdistä.

Laitteet ovat Android puhelin (OpenVPN Connect versio 3.2.4) ja W10 läppäri (Viscosity 1.9.3). Kummatkin ovat käsittääkseni uusimmassa versiossa. Tulee lähinnä mieleen, että onko serverin päässä jokin vanhentunut asetus päällä, joka rikkoo tunnelit nyt uudemman version kanssa.

E: Ei ollut vika serverissä eikä clientissä vaan dynaamisessa DNS:ssä. Kun ohitin koko DDNS:n niin yhteys lähti toimimaan saman tien.
 
Viimeksi muokattu:
Nyt päivitin pfsense 2.5.2 versioon ja edelleen unbound pitää käynnistää manuaalisesti, aluksi toimii hetken ja sitten pysähtyy, manuaalisen käynnistyksen jälkeen toimii. Onko muilla vastaavaa? Tämä ominaisuus tuli muistaakseni 2.5.0 jälkeen ja on pysynyt samana.
 
Nyt päivitin pfsense 2.5.2 versioon ja edelleen unbound pitää käynnistää manuaalisesti, aluksi toimii hetken ja sitten pysähtyy, manuaalisen käynnistyksen jälkeen toimii. Onko muilla vastaavaa? Tämä ominaisuus tuli muistaakseni 2.5.0 jälkeen ja on pysynyt samana.

Samallalailla meni täälläkin.
 
Harmillinen ominaisuus. Käynnistin vielä pfsensen uudelleen, sen jälkeen unbound ei ole kaatunut. Lähinnä tämä huolestuttaa mahdollisen sähkökatkon jälkeen, vaikka kone käynnistyykin katkon jälkeen automaattisesti niin dns ei välttämättä toimi ilman paikallista kirjautumista.
 
Kannattaa käyttää Services Watchdog -pluginia
Ei auttanu Watchdog silloin kun itse päivitin tuohon uuteen versioon. Status oli Unboundilla OK, mutta data ei vaan menny läpi. Vasta Unboundin restartti sai datan taas kulkemaan.

Watchdog on tosin korjannu tilanteen silloin, kun Unbound on kaatunu, jota ei taas oo nyt tapahtunut ollenkaan tällä uusimmalla pfSensellä.
 
2.5.2:ssa pitäisi olla vanhempi (toimiva) 1.12.x unbound, mutta näin ei siis ole?
2.5.1 versiossa oli vielä 1.13.x
 

Statistiikka

Viestiketjuista
262 454
Viestejä
4 557 110
Jäsenet
74 966
Uusin jäsen
Hautamagi

Hinta.fi

Back
Ylös Bottom