Історія створеної локальної мережі до того як офіс розбомбили...

Мережа

Після того як літня гроза в котре вивела з ладу мережеве обладнання, мережу приревнували  на основі таких комутаторів.

T2600G-28TS (TL-SG3424).

Брав ще за 5000 грн.

Нотатка для себе. Використання TCP IP round robin для ffmpeg за допомогою SQUID Proxy

Умови

• Задача балансувати зовнішнє підключення програми ffmpeg за допомогою пулу різних IP адрес.
• Firewall server з встановленим Squid. У мене це сервер "pfSense+". 
• Мережа реальних IP адрес  /24.

 

pfSense+ Virtual IP

Налаштовую на інтерфейсі додаткові зовнішні адреси як Аліаси або Virtual IPs у pfSense. Це десять  реальних  IP.

Virtual IPs у pfSense

Нотатка: Забезпечити безпечне мережеве з'єднання між двома офісами і віддаленим користувачем через OpenVPN

Задача

Забезпечити безпечне мережеве з'єднання між двома офісами і віддаленим користувачем.

Умови

• Головний офіс (Office 1) має білій IPv4 до якого можуть підключатися клієнти, локальна мережа 10.0.1.0/24.
  
• Віддалений офіс (Office 2) має підключення за NAT маршрутизатором, тому до нього підключитися не можливо за IPv4, але він може підключатися будь куди, локальна мережа 10.1.2.0/24.
• Віддалений користувач за звичай за домашнім WiFi маршрутизатором з IPv4 та NAT, до нього підключитися не можливо за IPv4, але він може підключатися будь куди.
• Офіси мають в локальний мережі програмний сервер маршрутизатор pfSense.
  

Вирішення

• Підключити віддалений офіс (Office 2) до головного офісу (Office 1), за допомогою технології VPN.
• Підключити віддаленого користувача до головного офісу (Office 1) та забезпечити доступ до локальної мережі обох офісів Office 1 та Office 2.

За даних умов вибирається VPN підключення на базі сервера OpenVPN, через підключення UDP IPv4.

Схематично план підключення зображено на малюку.

OpenVPN client - OpenVPN client

MTA Postfix with HAProxy + pfSense GUI

Якщо треба збалансувати навантаження на поштові сервери, можна створити це за допомогою HAProxy.

 

https://www.haproxy.com/.../efficient-smtp-relay.../

Якщо треба додати опцію "send-proxy" у pfSense GUI для backend можна зробити це в розділі "Per server pass thru"

send-proxy opton for backend

 

Нотатка для себе: Обмеження доступу до WiFi корпоративгої мережі зі спілним сервером FreeRadius

Є бездротова точка доступу WiFi що має декілька віртуальних WiFi мереж котрі розділені за допомогою VLAN. Так є корпоративна мережа з доступом до серверів компанії, є звичайна мережа корпоративних користувачів для доступу до мережі інтернет тільки, ні і є гостьова мережа з певними обмеженнями.

Віртуальні WiFi: 

• lexxai 
• lexxai-co
• lexxai-guest
• lexxai_5g
• lexxai-co_5g

Корпоративна WiFi мережа використовує доступ за технологією WPA2-EAP, з авторизацією в корпоративному FreeRadius сервері. Гостьова мережа має доступ з відомим ключем WPA2-PKS, але з Captive Portal. Додаткові мережі що працюють у діапазоні 5ГГц мають суфікс '_5g'.

Налаштування FreeRadius

Усі віртуальні wifi мережі налаштовані з підключенням до спільного Radius сервера, як різні клієнти. 

FreeRadius clients

pfsense синхронізація pf таблиці snort2c на інший firewall

Є фаєрвол pfsense (192.168.0.2) з встановленим пакунком snort.
Snort аналізує проток даних що приходить від мережевого інтерфейсу котрий під'єднаний до mirror port мережевого комутатора HP 2920.
Програма Snort аналізує мережевий потік що йде від ISP. На основі правил, отриманих за підписками, snort блокує IP адреси заносячи їх до відповідної таблиці фаєрволу pf - 'snort2c'.
Так як для аналізу мережевого потоку використовується не основний фаєрвол, а інший сервер, то за таблицею 'snort2c' нічого реально не блокується.
Фаєрвол pfsense запущено у віртуальній машині сервера PROXMOX у приватній підмережі 192.168.0.0/24.

Діаграма підключень

Для реального блокування IP адрес (ipv4, ipv6), необхідно передати інформацію про заблоковані IP адреси на інший сервер з FreeBSD (192.168.0.1) додаючи адреси до локальної таблиці 'snort2c' фаєрволу pf, і також зупиняючи усі з'єднання що існували з цими IP адресами.

Як зробити використовуючи pfSense, FreeRadius, дозвіл на WiFi WPA-Enterprise авторизацію тільки на певній WiFi точці доступу

Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".

Для реалізації обмежень можна використовувати  radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу  під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі  Users, Additional RADIUS Attributes (CHECK-ITEM).

pfSense overwrite DNS records on BIND DNS server.

Стала необхідність створити резервні - Secondary DNS zones інших DNS серверів котрі працюють у віртуальному середовищі. У випадку коли проводяться операції з віртуальним середовищами до DNS сервери не відповідають. Реалізував secondary DNS zones за допомогою BIND DNS server у pfSense.
Але для ефектного використання мережевих сервісів котрі працюють як на зовнішньому інтерфейсі так і у внутрішній мережі є необхідність перевизначати значення  DNS записів для різних локальних підмереж.
Так наприклад запис era.lexxai.pp.ua має IP адресу xxx.231.86.xxx, з глобальних DNS серверів, а потрібно щоб в локальній мережі для клієнтів підмережі 172.16.0.0/24, DNS запис era.lexxai.pp.ua мав IP адресу 10.250.10.15.
Згідно з публікацією: Overriding DNS for fun and profit.
Додаємо зону "rpz" де додаємо всі DNS записи які треба перевизначити.

Зона DNS "rpz" визначення зони "net172"

pfSense install FreeBSD packages

Re: 2.3 - How to install other FreeBSD packages / repositories?

« Reply #7 on: August 01, 2016, 07:20:04 am »

This does work in pfSense 2.3.2:
1. Make sure "enabled" key is set to "yes" in /etc/pkg/FreeBSD.conf
2. Change "enabled: no" to "enabled: yes" in /usr/local/etc/pkg/repos/FreeBSD.conf
3. Change "enabled: no" to "enabled: yes" in /usr/local/etc/pkg/repos/pfSense.conf for FreeBSD repo
4. Now you're able to install packages from FreeBSD official repo

https://forum.pfsense.org/index.php?topic=109827.msg644067#msg644067

Оновлення сторожового апаратного таймера Watchdog2 у pfSense через IPMI

З'ясував що версії pfSense версій 2.3.4, 2.4.0, не обробляє оновлення апаратного сторожового таймера материнської плати з Watchdog2.
Виправляв ось так:
Додати підтримку IPMI у ядро:
Додавання рядка ipmi_load="YES" до файлу /boot/loader.conf.local

/boot/loader.conf.local - ipmi_load="YES"

Потрібно перезавантажити систему і перевірити чи є підтримка IPMI з терміналу:

cat /var/log/dmesg.boot | grep ipmi

/var/log/dmesg.boot

З терміналу читаємо значення сенсорів:

ipmitool sensor

ipmitool sensor, перевірка наявності Watchdog2

Надалі необхідно оновити значення сенсора, це можна зробити за допомоги команди watchdog

$watchdog -d -t 300
shifted 549755813888
seconds_to_pow2ns: seconds: 300, ns 300000000000, power 39
Timeout for -t is 2^39 nanoseconds (in: 300 sec -> out: 549 sec 755813888 ns -> 549757 ticks)
Timeout is 2^39 nanoseconds

І повторювати її періодично, наприклад правилами планувальника cron:

Періодичне оновлення значення сенсора Watchdog2

Або можна запустити у фоновому режимі програму watchdogd.

watchdogd  -s 60 -t 300

Також можна скинути значення таймера виконавши  команду ipmitool:

$ipmitool mc watchdog reset
IPMI Watchdog Timer Reset -  countdown restarted!

Або визначити поточне значення таймера:

$ipmitool mc watchdog get
Watchdog Timer Use:     SMS/OS (0x44)
Watchdog Timer Is:      Started/Running
Watchdog Timer Actions: Hard Reset (0x01)
Pre-timeout interval:   0 seconds
Timer Expiration Flags: 0x08
Initial Countdown:      549 sec
Present Countdown:      545 sec

Або вимкнути таймер повністю:

$ipmitool mc watchdog off
Watchdog Timer Shutoff successful -- timer stopped

Тоді можна змінити cron на ipmitool mc watchdog reset:

ipmitool mc watchdog reset

Використано материнську плату Asus P10S-C/4L з модулем ASMB8-iKVM.

Налаштування Watchdog timer в BIOS через віддалене підключення iKVM.