Avaleht
uus teema   vasta Tarkvara »  Linux & UNIX »  Distributsioon ruuterile (IA32/AMD64) märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 15.01.2017 14:28:25 Distributsioon ruuterile (IA32/AMD64) vasta tsitaadiga

On kellelgi kogemusi antud teemas? Vb. oled ise katsetanud ning mingil olulisel põhjusel teinud oma valiku, anna palun teada, mis suunas valikut.

Hetkel huvitavamad teemad, mida peaks toetatama:
1. LoadBalance / MultiWAN
2. AdBlock
3. VPN

Esialgu silma jäänud 4 võimalust. +/- pandud oma mättalt vaadates. Võrgus olevad arvustused lähevad mõnel pool lahku.

1. ClearOS https://www.clearos.com/
+ CentOS baasil
- Heade ja kindlate asjade eest tahab raha. Proovimata asjad on tasuta a'la "kasvulava".
- Heidetakse ette automaatse uuenduse puudumist, mis paneb pidevalt asjaga tegelema.

2. Zeroshell http://zeroshell.org/
+ Pea-aegu kõik olemas
- Lisade eest tuleb maksta/avaldada arvustus.

3/4. OpnSense https://opnsense.org/ / PfSense https://pfsense.org/
- Mingile segasel asjaolul ei buutinud kummagi meedia üles. OpnSense-l on sellega teistel kasutajatel ka probleeme.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 15.01.2017 19:37:55 vasta tsitaadiga

Pfsensel peaks multiwani jaoks frontend olema. Konservatiivne bootmedia on tänapäeval cd-plaat ja biosis väljalülitatud uefi.
Aga arvutist ruuteri tegemisel tuleks ka elektriarve kokku lüüa, võib selguda et mõni routerboard tuleb odavam...

_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 103 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 93
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 15.01.2017 19:45:14 vasta tsitaadiga

cd-plaadiga on selline olukord, et ei ole enam seadet, millega installida, rääkimata kirjutamisest.

10W on lubatud tarbevõimsus antud isendil, tavaliste ruuterite tarvet pole võrrelnud.

MultiWAN-i puhul on see häda, et seadmeid on n+1.
n - WAN ruuterite arv.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004



Online

sõnum 15.01.2017 20:21:53 vasta tsitaadiga

Pfsense'i puhul ma ei tea, et WAN ühenduste arv kuidagi piiratud oleks (pole vahet, kas läbi WAN-ruuteri või mitte).
Ka on WAN ühendusi võimalik tulemüürimisel ja portide suunamisel grupeerida, ei pea igaühele eraldi reegleid tingimata tegema.
Soovitan proovida.
Tasuta asja kohta väga laiade võimalustega juba vaikimisi komplektis pluss hulk lisapakette.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.


viimati muutis Dogbert 16.01.2017 00:31:07, muudetud 1 kord
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
SirShark
HV kasutaja

liitunud: 23.03.2007



Autoriseeritud ID-kaardiga

sõnum 15.01.2017 20:35:55 vasta tsitaadiga

VyOS?
Kommentaarid: 35 loe/lisa Kasutajad arvavad:  :: 2 :: 0 :: 29
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 16.01.2017 17:01:34 vasta tsitaadiga

pfSense. Adblocki võid implementeerida mitmel erineval moel. Alias-tabeli pannes tulemüüris LAN->"Any" "Reject" reegli taga, DNS serveri ACL listiga või DansGuardian'iga. Kõik tasuta. Alias tabelitesse võid toppida ka kõik muud CIDR listid, erinevalt analoogset funktsiooni pakkuvast linuxi tulemüüri pluginast on performance penalty minimaalne isegi juhul kui alias tabel katab mingi 50k IP'd. Automaatne listide uuendus samuti võimalik. Ise kasutan iblocklist.com-i omi.

MultiWan ja VPN on samuti olemas. Lihtsalt tiri endale stabiilne versioon (hetkel 2.3.2) ja tuld.

opnsense'iga kipub olema rohkem pornot ja nikerdamist. Alates sellest et UEFI masinal ei pruugi installer USB pulgalt jutulegi võtta, peab kasutama CD'd. Lõpetades "apsakatega" kus WAN ühendus "kukkumisel" ei taastu ilma tervet masinat rebootimata.
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 20.01.2017 16:31:47 vasta tsitaadiga

Proovisin mõlemaga: Zeroshell ning PfSense

PfSense tundub ilusam, suuremate võimalustega jne. Isegi FreeBSD pakke saab lisada, kuigi arendajad on teinud pea kõik võimaliku, et see raske oleks.
Lisaks tuli enne korralikult netis kammida, kui PfSense buutima sain.

Zeroshell on kehvemapoolse UI-ga, samas sain ka kõik vajaliku tehtud va. tasuline osa.
Kasutab Linuxi Kernelit 4.4, millega uuemal masinal ei olnud ühtegi probleemi.

Lisaks oli Zeroshellil omadus, mida PfSense arendajad ei pea vajalikuks/võimalikuks isegi otsese küsimise peale.
Nimelt saab DHCP-teenuse panna tööle interface-põhiselt - see on mõlemal olemas.
Samas Zeroshell lubab ka NIC aliasele DHCP-teenuse lisada. PfSense ei luba, nende foorumis on sellise lahenduse kohta päring aastast 2011. Ainult imestatakse. et miks seda üldse vaja on...

Ma ei osanud muud paremaga välja tulla:
WAN ruuter jagab ühtlasi WiFi-t, sest LAN ruuteris seda ei ole.
Tegin sellele eraldi segmendi ning liiklus käib läbi LAN ruuteri.
Sisene liiklus jääbki sinna, väline suunatakse WAN-i edasi kasutades kõiki filtreid ja kontrolle, mida LAN-i ruuterisse saab panna.

Kahe ruuteri vaheline osa on nagu DMZ.

edit: nüüd olengi kahevahel - kui miskit lahendust ei leia, siis pean ilmselt Zeroshelli tagasi panema.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 21.01.2017 04:02:09 vasta tsitaadiga

nevermind kirjutas:

Lisaks tuli enne korralikult netis kammida, kui PfSense buutima sain.

Mis juhtus? Mul pole poole tosina emaplaadiga mingit problat olnud peale ühe Asuse mis pani sita UEFI implementatsiooniga näkku. pfSense lihtsalt crashis fatal kernel trap erroriga. Legacy boot BIOSist peale ja mott..

nevermind kirjutas:

Lisaks oli Zeroshellil omadus, mida PfSense arendajad ei pea vajalikuks/võimalikuks isegi otsese küsimise peale.
Nimelt saab DHCP-teenuse panna tööle interface-põhiselt - see on mõlemal olemas.
Samas Zeroshell lubab ka NIC aliasele DHCP-teenuse lisada. PfSense ei luba, nende foorumis on sellise lahenduse kohta päring aastast 2011. Ainult imestatakse. et miks seda üldse vaja on...

jääb suts segaseks. Mis "elukas" see "NIC alias" on?Maakeeles lahtiseletatuna.

nevermind kirjutas:

Ma ei osanud muud paremaga välja tulla:
WAN ruuter jagab ühtlasi WiFi-t, sest LAN ruuteris seda ei ole.
Tegin sellele eraldi segmendi ning liiklus käib läbi LAN ruuteri.
Sisene liiklus jääbki sinna, väline suunatakse WAN-i edasi kasutades kõiki filtreid ja kontrolle, mida LAN-i ruuterisse saab panna.


Et siis nagu WAN ruuter sildab (bridge) välisühenduse pfSense'i kasti (WAN IP maandub pfSense WAN võrgukaardil) ja sealt rondist väljuv LAN liiklus liigub tagasi WAN ruuterisse aga mingisse teise konkreetsesse võrgusisendisse, mis on reserveeritud puhtalt wifile? Ja et sisuliselt WAN ruuter, mis on füüsiliselt üks seade, töötab samaaegselt nagu kaks eraldiseisvat seadet, sillana ja wifi APna? Või misasja?
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 21.01.2017 10:41:21 vasta tsitaadiga

aht0 kirjutas:
Mis juhtus? Mul pole poole tosina emaplaadiga mingit problat olnud peale ühe Asuse mis pani sita UEFI implementatsiooniga näkku. pfSense lihtsalt crashis fatal kernel trap erroriga. Legacy boot BIOSist peale ja mott..

Midagi sellist juhtuski - UEFI miniarvutis. Tegelikult ei teagi, mis tegelikult juhtus ja mis lõpuks aitas, sest suutsin asja pildituks ajada ning peale tehase seadete taastasmist hakkas tööle.
Samas sai umbes sama asi tehtud masina saamisel ning linuxil ei olnud probleemi kummalgi juhul.
Lisaks hangus vahepeal sellises kohas: "psm0: failed to reset the aux device."

aht0 kirjutas:
jääb suts segaseks. Mis "elukas" see "NIC alias" on?Maakeeles lahtiseletatuna.

Ma ise arvasin, et just see väljend on kõige rohkem levinud kõnekeeles.
Tahan tekitada ühele võrgukaardile mitu IP-d.
https://www.cyberciti.biz/faq/linux-creating-or-adding-new-network-alias-to-a-network-card-nic/
http://www.tecmint.com/create-multiple-ip-addresses-to-one-single-network-interface/
https://en.wikipedia.org/wiki/IP_aliasing

PfSensel on see asi naljakasse kohta pandud e. Firewall-i alla.
Loogiliselt võiks see olla pigem Interface all.
Interface all on loogilised seadmed nagu WAN, LAN, OPT1 jne.
Kui aliasest tekitada loogiline ALIAS1 vms. siis võiks seda kõike ka ülejaanud moodulitele söödavaks teha ning asi isegi toimida.

aht0 kirjutas:
Et siis nagu WAN ruuter sildab (bridge) välisühenduse pfSense'i kasti (WAN IP maandub pfSense WAN võrgukaardil) ja sealt rondist väljuv LAN liiklus liigub tagasi WAN ruuterisse aga mingisse teise konkreetsesse võrgusisendisse, mis on reserveeritud puhtalt wifile? Ja et sisuliselt WAN ruuter, mis on füüsiliselt üks seade, töötab samaaegselt nagu kaks eraldiseisvat seadet, sillana ja wifi APna? Või misasja?

Kõlab natuke naljakalt eksole?
Aga täpselt nii ongi. Lisaks muudele hüvedele saavad WiFi kliendid kasutada ka MultiWAN-i.
Samas antud WAN-i seade on Telia poolt "hõivatud" ning ühe LAN-pordi (Ethernet sisendi) eraldamine WiFi jms. "sisese" liikluse jaoks tundub hetkel võimatu. Ma ei ole kindel, kas see antud ruuteri lukust lahtise isendiga oleks võimalik.
Praegu siiski nagu kaks ruuterit järjest ning vahepeal "hall ala" WiFi-ga.
Tegelikult ei olegi proovinud, mida ruuter Bridge-na teeb ning kuhu siis WiFi peaks minema...

Teoorias oleks võinud ühe üleliigse ruuteri eraldi WiFi-t jagama panna aga see tundus endale natuke imelik. (Krt, neid ruutereid on viimasel ajal hakanud kahtlaselt palju üle jääma...)

Edit: Tänud aht0!
Olen ikka päris "rooste" läinud ning vb esmapilgul elementaarsed vihjed on täiesti abiks.
Panin ruuteri bridge moodi ning ühendasin kahe kaabliga.
Üks neist on bridge-tud WAN, teine WLAN-i kasutajad.
PfSense-l 2 interface-i loodud ning asi toimib.

Igatahes jätkan PfSensega hetkel.
Kas keegi annaks vihje, kuidas AdBlock PfSense-le läheb?
Standard pakettide nimekirjas nagu ei näinud ühtegi.

_________________
AHV ei tea, mis AHV teeb


viimati muutis nevermind 21.01.2017 13:28:42, muudetud 1 kord
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 21.01.2017 13:33:28 vasta tsitaadiga

Ei kõla tegelikult naljakalt.

psm0 on FreeBSD's hiireseade. Kui BIOS laseb, bloki. Konsooliga masinas sul seda niiehknaa vaja ei ole.

mõni võrgukaart masinas üle ka on? Mitu porti "multifunktsionaalsel WAN karbil" on?

Võimalik et saaksid selle "virtuaalse wifikarbi" häälestada nii et see ise ei tegele ei NATI, DHCP küsimise ega nõudmisega. Sellele endale määrad ühe staatilise IP mis jääb pfSense LAN seadmega samasse aadressiruumi (192.168.1.254 - nii saad karbile endale võrgust vajadusel ligi)
Mul on asi lahendatud nii. wifikarp on küll eraldi (WAN tuleb otse pfSense võrgukaardile) aga wifit kasutades double-NAT ajas närvi.


Üks mu D-Linkidest lasi Wifi ka "bridge" seadmeks määrata..
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 21.01.2017 13:39:12 vasta tsitaadiga

Jõudsin oma tänud samal ajal teele panna - seega piilu eelmise posti lõppu!
Nii Telia ruuteril, kui ka PfSensega tegeleval masinal on 4 võrguporti kasutada.
Ma lahendasin asja nii:
Telia ruuter ei jaga DHCP-d, igaks juhuks panin DHCP Relay peale.
PfSense jagab 2 porti DHCP-d:
1. LAN-i kasutajad
2. WLAN-i kasutajad

lisaks on 1 port Telia WAN ning 1 vaba MultiWAN-i jaoks.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 21.01.2017 14:21:44 vasta tsitaadiga

Adblocking..

- tulemüüri Alias'ed ("reject" blokeering, siis ei oota timeout'i järele). Mul on seal ka muud peale reklaamide ja träkkerite..

- SquidGuard (vt. "System->Package Manager-> available packages tabi vms.) Vajab ka Squid paki installimist. Mul on tehtud nii et Squid teeb kasutamise lihtsuse mõttes "transparent proxy't" (kasutajad ei pea brauseris mingeid proxisid käsitsi paika ajama) ja SquidGuard omakorda filtreerib sellest proxist läbikäivat liiklust. Reeglid on kombineeritud käsitsi kokkupandud listidest ja "mittekommerts" squid blacklistist kust on siis "ads" või "advertising" kategooriad spetsiifiliselt valitud ja kõike muud blacklistis olevat ignoreeritakse.
käsitsi lisatu näide..


- DNS serveris ACL teha (ühekaupa määramine, parajalt tülikas, nii et ma peale viimast reinstalli (eile õhtul) enam ei viitsinud). IPTV on veel üldse konfimata.


Resultaat: Delfi Internet Exploreris. Puhtam, kuivem ja muretum tunne icon_biggrin.gif


Pmst, töötab ka lihtsalt üks variant neist kolmest, aga kui tuleb overkill siis tulgu, peaasi et veeb puhtam on. Aliastega pole ka probleemi et HTTPS reklaamilingid filtreerimata jäävad.
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 21.01.2017 17:00:43 vasta tsitaadiga

täitsa jama selle transparent squid'iga
valikuliselt filtreerib lehti (enamasti .ee):
tsitaat:
Request denied by pfSense proxy: 403 Forbidden

Reason:
Client address: 192.168.0.100
Client name: 192.168.0.100
Client group: default
Target group: none
URL: http://www.ee/

samas enamus .com-e tuleb läbi (näiteks google.com)

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 21.01.2017 17:45:13 vasta tsitaadiga

Mnjah, enne homme õhtut aidata ei saa - kodust ära. Jääb mulje et sul on see jäänud vaikimisi keelavaks domeenidele , mis ei kattu domeenidega üheski defineeritud listis vms. Ei oska krt paremini seletada kah. Vaikimisi reeglitega teeb jah nii.
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 21.01.2017 18:05:38 vasta tsitaadiga

Sellest oli juba abi thumbs_up.gif
_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 21.01.2017 19:43:09 vasta tsitaadiga

aht0 kirjutas:
- DNS serveris ACL teha (ühekaupa määramine, parajalt tülikas, nii et ma peale viimast reinstalli (eile õhtul) enam ei viitsinud). IPTV on veel üldse konfimata.

Selliste suuremate (ka omade) listide blokkimiseks tundub see moodul hea olevat: pfBlockerNG

Päris hea ja lihtne õpetus:
https://www.fredmerc.com/2016/07/pfsense-adblock-using-pfblockerng-guide/

Oma listid võib näiteks oleva Multilisti juurde lisada või hoopis selle asemel. Või ka eraldi lisaks - mul asi töötas!

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004



Online

sõnum 22.01.2017 00:07:13 vasta tsitaadiga

Ma igaks juhuks märgin siia ühe näpunäite, mis puudutab pfsense'i konfimist:

Kui on konfimisel tegemist mingite pikkade nimekirjade koostamisega, siis veebiliides on väga vastik ja aeglane asjandus - nagu see ACL ühekaupa määramine näiteks või siis tuntud MAC aadresside nimekirja koostamine ja neist vajalikele staatiliste IP-aadresside määramine jms.
Hea on teha üksikuid sissekandeid, kuna enamasti on peale vaadates asi hästi arusaadav, vahel selgitused ka veel juures ja ei pea mingit süntaksi tundma, aga kui sarnaseid asju on palju vaja teha, siis läheb jamaks, tekstifaili-põhine konfimine on sellega võrreldes vähem töömahukas.

Pfsense'i puhul on mõttekas:
1. teha igasse pikka listi üks-kaks sissekannet;
2. teha konfi backup (võib ka ainult sellest pika listi moodulist teha, kui menüüst on seda võimalik valida;
3. modifitseerida konfi xml-faili tekstiredaktoris, lisades sinna listidesse ülejäänud elemendid olemasolevate sissekannete eeskujul;
4. "taastada" konf moditud failist.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 22.01.2017 22:44:41 vasta tsitaadiga

nevermind kirjutas:
aht0 kirjutas:
- DNS serveris ACL teha (ühekaupa määramine, parajalt tülikas, nii et ma peale viimast reinstalli (eile õhtul) enam ei viitsinud). IPTV on veel üldse konfimata.

Selliste suuremate (ka omade) listide blokkimiseks tundub see moodul hea olevat: pfBlockerNG

Päris hea ja lihtne õpetus:
https://www.fredmerc.com/2016/07/pfsense-adblock-using-pfblockerng-guide/

Oma listid võib näiteks oleva Multilisti juurde lisada või hoopis selle asemel. Või ka eraldi lisaks - mul asi töötas!


töötab jah aga ma olen üritanud ilma selleta läbi ajada (2.1'ni kasutasin), unustasin isegi selle paki olemasolu ja seda soovitada icon_smile.gif

Aliased tulemüürireeglites töötavad suht samasse auku, GUI on lihtsam ja paki katkiminek peale uuendust ei koti. Seda viimast on juhtunud, mingi hetk sellepärast pfBlockeri kasutamise ka lõpetasin. Aga DNSBL tundub selle kaudu tõesti lihtsam thumbs_up.gif

Dogbert kirjutas:

Pfsense'i puhul on mõttekas:
1. teha igasse pikka listi üks-kaks sissekannet;
2. teha konfi backup (võib ka ainult sellest pika listi moodulist teha, kui menüüst on seda võimalik valida;
3. modifitseerida konfi xml-faili tekstiredaktoris, lisades sinna listidesse ülejäänud elemendid olemasolevate sissekannete eeskujul;
4. "taastada" konf moditud failist.

thumbs_up.gif
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 24.01.2017 15:14:46 vasta tsitaadiga

Maadlen hetkel järgneva 2 probleemiga - äkki oskab keegi aidata?

1. Squid ja SSL "man in the middle", selle teine külg on SquidGuard ja HTTPS

Kodused brauserid arvavad, et sellises koosluses tekitatud lehed on ise rünnak ning keelduvad neid näitamast.
Vb. aitaks usaldusväärne sertifikaat, samas ma väga kindel ei ole.
Kelle juures ning kuidas genereerida mõne tasuta CA usaldatavaid serte pakkuv sert tingimusel, et minu IP ei ole DNS-iga lahendatav?

Edit: kohe näha, et pool ööd üleval oldud - nüüd ärganuna tundub see idee endalegi "liiga ilus".
Ehk siis peab jätkama kodukootud CA ja selle brauseritele tutvustamisega.

2. Telia + fix IP + 4G ruuter bridge moodis

Eile öösel kadus IP ära, ei tea hetkel, kas oli miski tehniline viga või sai Telias DHCP lease läbi.
Kas Telia IP on teise ruuteri (pfSense) jaoks fikseeritud või peab aeg-ajalt selle uuendamise eest hoolitsema?

Kui peab uuendama, siis mis tüüpi ühendusega on tegu pfSense ruuteris?
Tundub, et asi ei ole lihtsalt dünaamiline DHCP-ga saadav. Samas kui 4G ruuter maha tõmmata, siis ei tea ta oma välisest IP-st enam midagi.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004



Online

sõnum 24.01.2017 17:37:32 vasta tsitaadiga

Palun arvesta, et kui sa https-i proxitad, siis ei tööta selle ühenduse otsas ka ID-kaardiga autentimine.
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 24.01.2017 19:18:53 vasta tsitaadiga

Dogbert kirjutas:
Palun arvesta, et kui sa https-i proxitad, siis ei tööta selle ühenduse otsas ka ID-kaardiga autentimine.

need ID-kaardi autentimiseks vajalikud domeenid peaks saama lisada käsitsi vajadust mööda squid'i whitelisti mida ei "proxitata".. Paljukest neid ikka on. Ma olen HTTPSi proxi välja jätnud, teeb ainult HTTP'd. Serdi probleem on jah häiriv. Hetkel HTTPSi filtreerimine jäänud Alias-listide tööks. Parem kui mitte midagi ja vähem närvidele käiv kui tants sertifikaadi ümber.

nevermind kirjutas:

2. Telia + fix IP + 4G ruuter bridge moodis

Eile öösel kadus IP ära, ei tea hetkel, kas oli miski tehniline viga või sai Telias DHCP lease läbi.
Kas Telia IP on teise ruuteri (pfSense) jaoks fikseeritud või peab aeg-ajalt selle uuendamise eest hoolitsema?

Kui peab uuendama, siis mis tüüpi ühendusega on tegu pfSense ruuteris?
Tundub, et asi ei ole lihtsalt dünaamiline DHCP-ga saadav. Samas kui 4G ruuter maha tõmmata, siis ei tea ta oma välisest IP-st enam midagi.


Kui on fixed IP siis ehk äkki proovid selle määrata pfSense interface lehel staatilisena? Kas nii ei tööta?
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 24.01.2017 21:25:22 vasta tsitaadiga

aht0 kirjutas:
Kui on fixed IP siis ehk äkki proovid selle määrata pfSense interface lehel staatilisena? Kas nii ei tööta?

Muidu töötab küll.
Ma päris täpselt ei jaga seda 4G võrgundust.

Eile öösel kadus IP aadress lambist ära. See juhtus keset aktiivset surfamist.
Ma ei tea hetkel, kas tegu Telia tehnilise veaga või näiteks läks väline IP hapuks, sest keegi ei osanud seda uuendada.
Tehnilise vea vastu räägib asjaolu, et mobiilid toimisid samal ajal edasi - ka internetis andis surfata.

Lihtsalt lambist DHCP aadressi küsides vastust ei saanud...

Ära kadumine toimis tegelikult nii, et pfSense jaoks "läks maha" WANGW.
Telias ruuteris oli väline võrgu aadress 0.0.0.0 ning "disconnected".
Kuna ruuter on pidevalt online-sse konfitud, siis ühendamise taastamiseks eraldi nuppu UI-s ei ole. Tegin restardi ning võrk tuli tagasi.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003




sõnum 25.01.2017 00:22:15 vasta tsitaadiga

ka äkki mingi modemi firmware bug? F5521GW'l on "harjumus" timeout'i minna ja mitte enam üles tulla. Saab vältida pmst ainult ICMP'ga mõnd hosti püsivalt pingides. Hädaks pmst iga OSi all ja mitme eri samatüübilise kaardiga.

pfSense gateway seadete all on koht, kus saab määratud IP aadressi püsivalt pingima panna. Äkki väldib järgmist mahaminekut? System Logi all ei olnud selle aja kohta midagi informeerivat kirjas?

Ilma resata peaks nii ka saama et interface disable, apply, enable, apply. Enamasti taastub.
Kommentaarid: 82 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 71
tagasi üles
vaata kasutaja infot saada privaatsõnum
nevermind
HV Guru
nevermind

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 25.01.2017 11:01:55 vasta tsitaadiga

pfSense ise ju maha ei läinud ning sealt vaadates kukkus WANGW maha. WANGW ongi aadress, mida pingitakse.

Maha läks hoopis Telia ruuter. Ruuteri firmware on Telia poolt kohitsetud ning uuendamine toimub ilmselt siis, kui Telia uue versiooni välja annab.

Püstihoidmisest - ma sõna otseses mõttes kammisin netis ringi sellel hetkel, kui ühendus ära kadus - seega ei tohiks olla lihtsalt timeout.

_________________
AHV ei tea, mis AHV teeb
Kommentaarid: 63 loe/lisa Kasutajad arvavad:  :: 2 :: 1 :: 57
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Linux & UNIX »  Distributsioon ruuterile (IA32/AMD64)
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.