Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Liittynyt
03.12.2016
Viestejä
807
Osaako joku sanoa mikä tämä osoite on, kun tuntuu että moni laite haluaa ottaa tuohon yhteyttä? Onko minulla kenties joku troijjalais ongelma.
PfblockerNg siis blokkaa... 212.16.104.33:123 tor.effi.org
 
Liittynyt
27.12.2018
Viestejä
2 378
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:
$ ntpdate -q tor.effi.org
server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202
18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Liittynyt
17.10.2016
Viestejä
4 089
Kuinkas paljon Fitletin tullit ovat?
Tulli 0%, koska tietokone, mutta alvihan piti maksaa aina.

PS. Mulla korkkaamattomat fitlettiin sopiva 8Gb muisti ja 64Gb SSD, jos tarvetta.
Transcend 64GB SATA III 6Gb/s MTS400 42 mm M.2 SSD Solid State Drive (TS64GMTS400S)
Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM - CT8G3S186DM
 
Liittynyt
03.12.2016
Viestejä
807
NTP-palvelin ("pelottavan" nimisellä hostilla)? Ei ole mitään syytä blokata, koska kellokin vaikuttaa olevan melko tarkasti ajassa
Koodi:
$ ntpdate -q tor.effi.org
server 212.16.104.33, stratum 2, offset 0.005661, delay 0.10202
18 Mar 12:54:55 ntpdate[27899]: adjust time server 212.16.104.33 offset 0.005661 sec
Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr... :)
En haluaisi aloittaa nollista. Pääsisiko ssh:n tmjs kautta jotain tiedostoa editoimaan manuaalisesti ?
 
Liittynyt
27.12.2018
Viestejä
2 378
Kiitos, sain sen nyt whitelistattua. Vielä kun keksisi miten saisi noi effit pois tuolta tilastoista. Grr... :)
En haluaisi aloittaa nollista. Pääsisiko ssh:n tmjs kautta jotain tiedostoa editoimaan manuaalisesti ?
Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.
Tuosta ja lukuisista muista Tor-exit -nodeista saapuva liikenne on sinänsä syytä estää, ellei nimenomaisesti pyöritä jotain web-palvelua, koska tämän blokkaus aiheuttaa myös sen, että Tor-käyttäjät eivät tähän palveluun pääse. Nehän voi olla vaikka kiinalaisia lääkäreitä, jotka yrittävät kertoa, mitä siellä oikeasti tapahtuu.

Outgoing-liikenteen esto kyseiseen osoitteeseen on täysin turhaa, kuten jo sanoinkin.

Tällaisiin estolistoihin voi järkevästi vaikuttaa vain kahdella tavalla. Helpompi tapa on, jos blokkerissa on mahdollisuus tehdä omia whitelistoja, tai tehdä muita valintoja, esim. Tor exit-nodejen suhteen. Epävarmempi tapa on yrittää saada listoja muokatuksi, sikäli kun siellä on jotain virheitä. Huonoin vaihtoehto on tehdä omiin kopioihin muutoksia, joiden ylläpito voi käydä hankalaksi, jos se esim. vaikeuttaa listojen automaattista päivitystä tai suorastaan estää sen.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Kyseessä on myös IPv4-osoite, joka on Tor exit node. Sieltä lähtevä liikenne on jonkun Tor:in käyttäjän tekosia ja haittaliikenteestä menee siis haukut väärälle puulle, koska näin se toimii.
Tuosta ja lukuisista muista Tor-exit -nodeista saapuva liikenne on sinänsä syytä estää, ellei nimenomaisesti pyöritä jotain web-palvelua, koska tämän blokkaus aiheuttaa myös sen, että Tor-käyttäjät eivät tähän palveluun pääse. Nehän voi olla vaikka kiinalaisia lääkäreitä, jotka yrittävät kertoa, mitä siellä oikeasti tapahtuu.

Outgoing-liikenteen esto kyseiseen osoitteeseen on täysin turhaa, kuten jo sanoinkin.

Tällaisiin estolistoihin voi järkevästi vaikuttaa vain kahdella tavalla. Helpompi tapa on, jos blokkerissa on mahdollisuus tehdä omia whitelistoja, tai tehdä muita valintoja, esim. Tor exit-nodejen suhteen. Epävarmempi tapa on yrittää saada listoja muokatuksi, sikäli kun siellä on jotain virheitä. Huonoin vaihtoehto on tehdä omiin kopioihin muutoksia, joiden ylläpito voi käydä hankalaksi, jos se esim. vaikeuttaa listojen automaattista päivitystä tai suorastaan estää sen.
Juu tuon ip:n blokkaa Talos lista.
Itsellä on konffattu tuo @escalibur ohjeen mukaan.

- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
 
Liittynyt
03.12.2016
Viestejä
807
Spotify freen kanssa on pienimuotoinen ongelma tuon PfblockerNG:n kanssa. Eli joskus se blockaa jonkin adtrackerin, jonka jälkeen spotify stoppaa soittamisen. Joutuu aina käyniistämään koko spotifyn uudelleen. En kuitenkaan löydä sitä blokcia esim. reportseista, jotta voisin whitelistata sen. Ei tuo nyt maailmoja kaada, mutta olisi kiva saada toimimaan.
Siis itse mainoksia en ole yrittänyt spotifystä blockata, vaan mielumin mainokset kuin se että soitto lakkaa.

Käytän siis noita samoja escaliburin listoja, tosin olen jättänyt ADs listat pois, kun aiheutti WAF ongelmia.

EDIT: Kyseinen spotify ongelma oli ehkäpä enemmän käyttäjävirhe. :facepalm: Itselläni oli arcolinuxissa oma arcolinux-hblock-git blocker joka tuon taisi aiheuttaa.
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Liittynyt
27.12.2018
Viestejä
2 378
Huonoon aikaan jos pfSense on yrityskäytössä ja käytetään sen VPN ratkaisuja.
VPN-serverin päivitys etänä (ainakin pfSense:n) on hieman hasardia. Mutta jos hommat on tehty kunnolla(*), niin sen voi tehdä etänä toisen, riippumattoman VPN:n kautta (vaikka toisen pfSensen). Jos jotain menee vikaan, niin konsoliinkin pääsee etänä(*)
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Tämäkin vielä. :cautious:
  • Reduced the default GUI web server certificate lifetime to 825 days to prevent errors on Apple platforms #9825
 
Liittynyt
01.02.2019
Viestejä
365
Tarkoitus olisi saada site-to-site vpn kahden pfSensen välille. Mielestäni sain yhteyden toimimaan tässä kotioloissa kahdella julkisella ip:llä, mutta nyt kun vein toisen purkin lopulliselle paikalle bitti ei enää kulje. Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan. Tarvitseeko site-to-site molemmissa päissä avoimia portteja vai onko mulla jotain häikkä asetuksissa?
 
Liittynyt
01.02.2019
Viestejä
365
Serverin päässä kuitu, kaikki portit auki. Tuo Yhteyspiste-palvelu maksaa 2 € / kk ja ihan periaatteen vuoksi vaihdan sitten vaikka DNA:n simmiin jos portteja pitää olla auki että VPN:n saa toimimaan.
 
Liittynyt
27.12.2018
Viestejä
2 378
Eli homman pitäisi siis ISP:n puolesta toimia, jos Client (Telia 4G) kytkeytyy Serveriin (kuitu). Toiseen suuntaan ei onnistu, ellei Teliassa ole vähintään yhteyspistepalvelu käytössä (APN opengate), koska ei ole julkista IPv4:ää.
Missä portissa serverin VPN on, ja mikä se on? Esim. OpenVPN oletus 1194/UDP
 
Liittynyt
23.10.2016
Viestejä
497
Tarkoitus olisi saada site-to-site vpn kahden pfSensen välille. Mielestäni sain yhteyden toimimaan tässä kotioloissa kahdella julkisella ip:llä, mutta nyt kun vein toisen purkin lopulliselle paikalle bitti ei enää kulje. Client-puolella on kaksi nettiyhteyttä: Telian 4g (ilman opengatea) ja pariin kertaan natattu wlan. Tarvitseeko site-to-site molemmissa päissä avoimia portteja vai onko mulla jotain häikkä asetuksissa?
IPSecillä?
Olen tehnyt pari kappaletta tuollaista tuotantokäyttöön, ja juuri Telian OpenGatella. Missä kohtaa paketti töksähtää?

Edit: IPSec tarvitsee julkisen IP:n ja portteja auki, mutta porttien pitäisi olla OpenGatessa auki.
 
Liittynyt
27.12.2018
Viestejä
2 378
Oli mikä VPN tahansa, kun se on asymmetrinen Client->Server, niin ainoastaan serverin puolella pitää olla niitä avoimia portteja, johon client kytkeytyy.
Tietämättä tarkempia tietoja, yksi veikkaus voisi olla IPSec-ongelma tupla-nattauksen kanssa. OpenVPN olisi helpompi.
 
Liittynyt
01.02.2019
Viestejä
365
OpenVPN:llä. OpenGatea mulla ei ole käytössä ja tuossa toisessa rinnalla olevassa wan-yhteydessä mulla ei ole edes mahdollisuutta avata portteja. Kait tuon jollain virityksellä sais toimiin? Esim. ZeroTierillä sais vissiin kahden koneen välille yhteyden, mutta oisko joku pfSensen tukema tapa saada verkot yhteen?
 
Viimeksi muokattu:
Liittynyt
27.12.2018
Viestejä
2 378
Onko tuo serveri nyt siis siinä ääressäsi ja kuidutettu internetiin? Jos on, niin suosittelen vaikka clientia kännykässä avuksi sen konffauksen tarkistamiseen ja debuggaamiseen. Kännyn pitää tietysti kusoilla oikeasti internetin suunnasta celludatalla tms.

Sitten kun serverin konffi on ok ja osaat yhden clientin konffata myös, voit käyttää samaa client-konffia siellä remoten clientin kanssa, tietysti mielellään omalla client-sertifikaatilla.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Tuli sitten purettua OpenVPN pois pfSensestä ja client softat pois laitteista. :(

Sen verran muutin tuota IPsec juttua. Tein itse nuo säännöt kun ne on oletuksena piilotettu.
Sain tehtyä ajastuksen, milloin VPN:n ei tarvi toimia. Lisäksi mulla on alias, jossa verkot, mistä voi ottaa VPN yhteyden ja tuo alias säännöissä. Lähinnä Elisan ja Telian mobiiliverkot ja muutama muu. Nuo ajastus ja alias jutut mulla oli vuosia OpenVPN:ssä käytössä.

Näillä mennään..
 
Liittynyt
25.03.2020
Viestejä
1
Moro,

Kaipaan suosituksia rautavaihtoehdoista, vaatimuksena lähinnä sellaiset, että mielellään passiivirauta, 4-6 ethernet-porttia, saisi suomesta ja hinta olisi alle 600. Tulisi pfSense käyttöön. Toimisi sisäverkon palomuurina ja vpn-serverinä.
 
Viimeksi muokattu:
Liittynyt
23.10.2016
Viestejä
497
Crash report begins. Anonymous machine information:

amd64
11.3-STABLE
FreeBSD 11.3-STABLE #236 21cbb70bbd1(RELENG_2_4_5): Tue Mar 24 15:26:53 EDT 2020 root@buildbot1-nyi.netgate.com:/build/ce-crossbuild-245/obj/amd64/YNx4Qq3j/build/ce-crossbuild-245/sources/FreeBSD-src/sys/pfSense

Crash report details:

PHP Errors:
[26-Mar-2020 16:57:43 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:47 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:48 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:54 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:57:54 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:58:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0
[26-Mar-2020 16:58:07 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0



No FreeBSD crash data found.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Asennuksen jälkeinen bootti niin seuraavat herjat.

[26-Mar-2020 16:49:57 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:49:59 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:49:59 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:01 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:01 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'readline.so' (tried: /usr/local/lib/php/20170718/readline.so (Shared object "libreadline.so.7" not found, required by "readline.so"), /usr/local/lib/php/20170718/readline.so.so (Cannot open "/usr/local/lib/php/20170718/readline.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0
[26-Mar-2020 16:50:06 UTC] PHP Warning: PHP Startup: Unable to load dynamic library 'intl.so' (tried: /usr/local/lib/php/20170718/intl.so (Shared object "libicui18n.so.62" not found, required by "intl.so"), /usr/local/lib/php/20170718/intl.so.so (Cannot open "/usr/local/lib/php/20170718/intl.so.so")) in Unknown on line 0

Toinen bootti niin ei herjannnu enää.

1. FreeRadius WIFI toimii
2. IPSec VPN toimii
3. pfBlockerNG näyttää toimivan
4. Arpwatch database nollaantui eli sähköpostiin tippuu ilmoituksia laitteista

Näin äkkiä tarkistettuna niin toimii ok. Aina voi löytyä ongelmia..
 
Liittynyt
26.02.2019
Viestejä
2 443
Turvallisinta pysyä jonkun aikaan vielä vanhassa versiossa. Eipä tuo itsellä muutenkaan niin isoa virkaa näyttele kuin erilliset verkot ja niiden välillä luoviminen miten nyt sit ikinä olenkaan määrittänyt.

Testatkoon hätäisemmät ja todentakoot ongelmat. :)
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
pkg audit -F käsky:

Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.

:hammer:
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Keskustelu tuolla foorumilla.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
WireGuard release 1.0.0 ja lisätty Linux 5.6 kerneliin. Saa nähdä, kauan kestää että löytyy pfSensestä.
 
Liittynyt
17.10.2016
Viestejä
493
pfSense 2.4.5 päivitetty ilman ongelmia. Itse asiassa asensin uuden version uuteen virtuaalikoneeseen ja kopioin konffiksen sinne. Sitten vähän verkkoliitäntöjä kliksutellen pois ja uusia päälle ja kovaa ajoa. Ihan kuin olisi tullut lisää nopeutta nettiyhteyteen?!?
 
Viimeksi muokattu:
Liittynyt
23.10.2016
Viestejä
497
WireGuard release 1.0.0 ja lisätty Linux 5.6 kerneliin. Saa nähdä, kauan kestää että löytyy pfSensestä.
En odota tuota edes 2.5.0:aan, vaikka muuten ominaisuus onkin kova lisä. BSD-puolella asiat tapahtuu verkkaisesti, ja pfSensen puolelta vielä enmmän verkkaisesti, joten 2.6.0 sitten :D
 
Liittynyt
19.10.2016
Viestejä
1 663
Ajantasainen Docker pfSense-boksissa olisi kova sana
Miksi? Ajele ennemmin sitä pfsenseä virtuaalisena ja dockeria jonkun distron päällä sen rinnalla. Itse ottaisin pfSensen mieluiten pelkkänä palomuurina ilman mitään ylimääräistä poislukien nyt saatavilla olevat paketit.
 
Liittynyt
27.12.2018
Viestejä
2 378
En välitä bootata palomuuria, katkaista sessioita ja yhteyksiä ja resetoida stateja kerran viikossa hostin päivitysten takia
 
Liittynyt
07.07.2017
Viestejä
525
En välitä bootata palomuuria, katkaista sessioita ja yhteyksiä ja resetoida stateja kerran viikossa hostin päivitysten takia
Ei ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.
 
Liittynyt
27.12.2018
Viestejä
2 378
Ei ne hostin päivitykset vaikuta virtuaalikoneen elämään ellei hypervisori pyöri Windowsilla. Muutama tovi sitten meni puolen vuoden uptime Proxmox+pfSense kombolla kun piti lisätä purkkiin levyjä, ja seuraavan katkon joutuu tekemään joskus ensi kuussa BIOS päivityksen takia, mistä tuleekin ensimmäinen kerta kun konetta tulee sammutettua päivitysten takia. Siinä samalla sitten ajaa tuon 2.4.5 versionkin sisään.
Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback Machine
Joku hifisti voi myös olla sitä mieltä, että virtualisoidussa palomuurissa menee perffiä hukkaan, vaikka siinä etujakin on.
 
Liittynyt
07.07.2017
Viestejä
525
Riippuu varmaan siitä, mikä se host on ja tuleeko siihen päivityksiä (tai ottaako niitä vastaan) Wayback Machine
Joku hifisti voi myös olla sitä mieltä, että virtualisoidussa palomuurissa menee perffiä hukkaan, vaikka siinä etujakin on.
Niin, kunhan se hosti ei ole tavan Windows 10, ei normaalit päivitykset vaikuta virtuaalikoneisiin. Windowsin ulkopuolella ainoastaan kernelin päivitykset vaativat reboottia ja on hyvin harvinaista, että kerneliin tulee mitään omaan tietoturvaan vaikuttavia paikkauksia. Eihän pfSenseäkään tarvitse viikottain boottailla päivitysten takia.
Palomuurin pidän mielellään niin puhtaana ja turvallisena kuin voin, ja esim. SOCKS5 proxyä tulee pyöritettyä toisessa virtuaalikoneessa, koska vastaavan proxyn asentaminen pfSenseen itseensä vaatisi asentamisen pfSensen oman paketinhallinnan ulkopuolelta. Toki virtualisointi vaikuttaa hieman suorituskykyyn, mutta paravirtualisoidun ja varsinkin PCI-läpäistyn NICin kanssa ero on aika mitätön, CPU:n käyttö kasvaa vain parilla prosentilla.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
VPN Scaling (pfSense)
Omassa IPsec virityksessä on jonkin verran korjaamista niin täytyy joskus käydä nuo läpi.
Tein muutamia muutoksia.

1. AES-NI CPU based acceleration --> AES-NI and BSD Crypto Device (aesni, cryptodev)

2. In Phase 1 (IKE) settings
  • AES256-GCM with 128 bit --> AES128-GCM with 128 bit
  • Hash SHA384 --> SHA256. Apple ei tue tuota AES-XCBC

3. In Phase 2 (Child SA) settings
  • AES256-GCM with 128 bit --> AES128-GCM with 128 bit
  • Do not select any Hash Algorithms. A hash algorithm is unnecessary for AES-GCM as it already includes authentication. Eli poistin SHA384
4. Enable Asynchronous Cryptography
IPsec cryptography jobs can be dispatched multi-threaded to run in parallel and increase performance. However, not all platforms and configurations fully support this function. To enable this capability, check Asynchronous Cryptography under VPN > IPsec on the Advanced tab.


Näyttää toimivan..
 
Viimeksi muokattu:

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Olikos kenelläkään käytössä tuo IKEv2 VPN pfSensessä? Onko toiminut vakaasti?
Ajattelin, jos kokeilisi sitä tuon OpenVPN tilalle. Olisi muutamia etuja Applen laitteisiin eli ei tarvitsisi mitään client ohjelmistoa, koska tuo IKEv2 löytyy suoraan macOS, iOS ja IPadOS käyttiksistä.
Sitten mulla on ollut aikoinaan OpenVPN Access Serverissä käytössä VPN On-Demand niin senkin voisi virittää tuohon IKEv2 yhteyteen.

pfSense IKEv2 for iOS/macOS

On Demand VPN

Can I use iOS 6+ VPN-On-Demand with OpenVPN?
Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.
 
Liittynyt
17.10.2016
Viestejä
493
Kertokaapa tietämättömälle, milä on IPSec-sertifikaatti? SSL-sertifikaatin tiedän, mutta ei sillä oo mitään tekoa IPSecin kanssa?
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Loiko pfSense sulle IPSeciin liittyvät palomuurisäännöt? Itsellä se ei luonut ainuttakaan sääntöä. Dokumentaation mukaan se luo "piilosäännöt", mutta esim iPhone ei millään suostu yhdistämään omaan IPSec palvelimeen. En omaa Applen ATK:ta, joten kikkailin yhteyden puhelimeen importtaamalla IPSec server sertin toista kautta.
Kyllä se loi ne säännöt kun kaikki toimi. Ne oli piilotettuja sääntöjä.
Tein myöhemmin nuo itse, eli tuo Disable all auto-added VPN päälle.
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Ei taida onnistua iPhonen IKEv2:n konfigurointi ilman Mac-konetta. :/
Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.
MacOS medioita löytyy netistä niin asentaa sen johonkin VirtualBoxiin ja tämä on työkalu.
MacOS Serveristä löytyy tuosta työkalusta järeämpi versio, mutta sen pystyttäminen on turhaa.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Ei
Ei taida onnistua ilman Mac -konetta. Joskus oli iPhone Configuration Utility for Windows, mutta tuo jo vuodelta kirves ja miekka. En ole koskaan käyttänyt.
MacOS medioita löytyy netistä niin asentaa sen johonkin VirtualBoxiin ja tämä on työkalu.
MacOS Serveristä löytyy tuosta työkalusta järeämpi versio, mutta sen pystyttäminen on turhaa.
Ei yhtään huvittaisi räpeltää Hackintoshia ja tehdä tuntitolkulla töitä, näinkin yksinkertaisen asian vuoksi. Ehkä suosiolla pystytän OpenVPN:n.


Mitä päivitykseen tulee, tuli vihdoinkin päivitettyä oman Shuttlen bioksen uusimpaan, ja samalla päivitin pfSensenkin.

Uptimea oli vajaat 200 päivää, eli juuri edellisestä päivityksestä lähtien. :)
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 562
Viestejä
4 166 408
Jäsenet
70 423
Uusin jäsen
ngocminh247

Hinta.fi

Ylös Bottom