Forum » Omrežja in internet » Moja domaca mreza
Moja domaca mreza
mahoni ::
Doma imam neko bi se skoraj reklo plug&play domaco omrezje.
- 1x CiscoSG350 10 portni Desktop switch
- 1x wlan ruter
- 1x firewall sophos utm
- 1x modem itak...
- 1x freenas
- 1x nuc z esxi
- ene par virtualk (windows, linux)
- telefoni, laptopi, tv..
Vse skupaj je pac v enem omrezju in to deluje bp, ampak jaz zelim iti korak dlje in bi rad pridobil se nekaj znanja v povezavi z VLAN-i, port security...oziroma rad bi izkoristil ta switch, ker ima dosti dobrih featueres.
Sam pa nimam idej kaj tocno lahko naredim, izboljsam. Vzel bom se en switch, ker mi primanjkuje portov, mislil sem oba skupaj povezati, da dobita 1 IP naslov (ne vem ce to sploh gre pri tej seriji), pa narediti 3 VLAN.
Rad bi locil gadgete kot so telefoni, tv, filipsov hub za osvetlitev od moje interne mreze. Rad bi imel tudi wlan posebej za goste ipd zadeve.
Ali ima kdo kaksno idejo za kaksen dober projektic za doma?
- 1x CiscoSG350 10 portni Desktop switch
- 1x wlan ruter
- 1x firewall sophos utm
- 1x modem itak...
- 1x freenas
- 1x nuc z esxi
- ene par virtualk (windows, linux)
- telefoni, laptopi, tv..
Vse skupaj je pac v enem omrezju in to deluje bp, ampak jaz zelim iti korak dlje in bi rad pridobil se nekaj znanja v povezavi z VLAN-i, port security...oziroma rad bi izkoristil ta switch, ker ima dosti dobrih featueres.
Sam pa nimam idej kaj tocno lahko naredim, izboljsam. Vzel bom se en switch, ker mi primanjkuje portov, mislil sem oba skupaj povezati, da dobita 1 IP naslov (ne vem ce to sploh gre pri tej seriji), pa narediti 3 VLAN.
Rad bi locil gadgete kot so telefoni, tv, filipsov hub za osvetlitev od moje interne mreze. Rad bi imel tudi wlan posebej za goste ipd zadeve.
Ali ima kdo kaksno idejo za kaksen dober projektic za doma?
Poldi112 ::
Idejo že imaš dobro, zdaj jo moraš samo še implementirati. Začneš z vlan-i in firewall-om, kjer zapreš vse, kar ne potrebuješ.
Nato postavis caching dns server z blacklisto oglaševalcev (da reklame že na network nivoju porežeš), ter prisiliš uprabnike, da uporabljajo secdns (dovoliš zgolj dns serverju da dela poizvedbe ven).
Razmisliš, kako boš preprečil, da ti cryptovirus/keylogger/hacker sesuje snapshote na freenas-u (ločen management vlan in dedicated rpi za administracijo?).
Avtomatiziraš backup-e na freenas.
Imaš monitoring, da zveš, ko gre kaj narobe.
...
Nato postavis caching dns server z blacklisto oglaševalcev (da reklame že na network nivoju porežeš), ter prisiliš uprabnike, da uporabljajo secdns (dovoliš zgolj dns serverju da dela poizvedbe ven).
Razmisliš, kako boš preprečil, da ti cryptovirus/keylogger/hacker sesuje snapshote na freenas-u (ločen management vlan in dedicated rpi za administracijo?).
Avtomatiziraš backup-e na freenas.
Imaš monitoring, da zveš, ko gre kaj narobe.
...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
mahoni ::
Hvala Poldi za odgovore.
DNS server tece na Windows 2019 strezniku. Instaliran imam tudi Pi-Hole za blacklisto oglasevalcev. DNSSEC se nisem implementiral, ampak ravno o tej temi se ucim ker se pripravljam na izpit MCSA 2016 networking.
Backup je avtomatiziran z Veeam Backupom in dela resnicno dobro, z community verzijo.
Monitoringa nimam - to je dobra ideja, locen management VLAN nimam - tudi fajn ideja.
DNS server tece na Windows 2019 strezniku. Instaliran imam tudi Pi-Hole za blacklisto oglasevalcev. DNSSEC se nisem implementiral, ampak ravno o tej temi se ucim ker se pripravljam na izpit MCSA 2016 networking.
Backup je avtomatiziran z Veeam Backupom in dela resnicno dobro, z community verzijo.
Monitoringa nimam - to je dobra ideja, locen management VLAN nimam - tudi fajn ideja.
mahoni ::
Bi se lahko se kdo vkljucil v debato?
Ima se kdo kaksne ideje, kako bi lahko mrezo optimiziral? Sophos UTM bom moral dat stran, ker IPS ne deluje tako kot bi si zelel. Sedaj imam 300mbit doma in ko je vklopljen ips mi poje 70% povezave.
Razmisljam, da uvedem paleto mikrotikov v domace okolje. Samo ne vem, ce se tam da stimat IPS...
Ima se kdo kaksne ideje, kako bi lahko mrezo optimiziral? Sophos UTM bom moral dat stran, ker IPS ne deluje tako kot bi si zelel. Sedaj imam 300mbit doma in ko je vklopljen ips mi poje 70% povezave.
Razmisljam, da uvedem paleto mikrotikov v domace okolje. Samo ne vem, ce se tam da stimat IPS...
pegasus ::
Optimiziral? Za katere parametre?
Iz napisanega se zdi, da hočeš domač lab. To lahko poljubno zakompliciraš v odvisnosti od razpoložljivega hardvera, časa in znanja. FYI, tako linux kot windows znata delat s tagged vlan interfacei, tako da se lahko poigraš s kakim routingom, na esx pa lahko daš še kak pfsense in se preklikaš še malo po njem. Opcij je ogromno ...
Iz napisanega se zdi, da hočeš domač lab. To lahko poljubno zakompliciraš v odvisnosti od razpoložljivega hardvera, časa in znanja. FYI, tako linux kot windows znata delat s tagged vlan interfacei, tako da se lahko poigraš s kakim routingom, na esx pa lahko daš še kak pfsense in se preklikaš še malo po njem. Opcij je ogromno ...
Ribič ::
Za router ravno tako predlagam pfSense, če želiš pa IDS/IPS, pa naložiš še SuricataIDS.
Vse ribe so mi pobegnile!
mahoni ::
HotBurek ::
Nekaj idej....
1
- Registriraj domeno
- Postavi si DNS strežnik (BIND9)
- Nakonfiguriraj DNSSEC, DNS overt TLS, DNS over HTTPS
- Gledaj log fajl, kdo ti dela query-je, kako pogosto...
2
- Postavi Postfix + Dovecot + OpenDKIM + SpamAssassin + Clam Antivirus
- Skonfiguriraj OpenDKIM, SPF
- Skonfiguriraj SMTP na portu 587
- Nakonfiguriraj SMTP, da se bo obnašal kot open relay, in vse poslane (spam) maile shranjuje na lokalni disk
- Glej log fajle, maile...
3
- Postavi Nginx, ki ima HTTP in HTTPS interface
- Skonfiguriraj ga tako, da bo vse requeste (GET, POST, HEAD) shranjeval v neko bazo
(vmesnik je lahko s Python + uWSGI, ali PHP + php-fpm, ali JS + Node.js, ...)
- Analiziraj log file, traffic....
4
- Postavi Proxy (Squid3, mimtproxy) za HTTP in HTTPS
- Testiraj promet, proxt caching...
5
- Postavi CA/PKI infrastrutkuro (EasyRSA)
- Root CA, intermediate CA, issuing CA
- Izdaj certe za lokalne servise, uvozi certe v lokalni PC
- Testiraj CRL listo
6
- Postavi VPN strežnik (OpenVPN)
- Testiraj dostop preko različnih subnet-ovm, push routing tables...
- Naredi VPN tunel med dvema strežnikoma, ki sta v različnih VLANih, a istem IP subnetu (192.186.0.0/24)
- Vzpostavi komunikacijo med dvema PC-jema preko tega VPN-ja
7
- Postavi High Availability (HAProxy) in za njim postavi storitve (DNS, HTTP, VPN, ...)
- Postavi Caching Server (Varnish Cache, Memcached) in potestiraj, koliko se da prišparat na prometu...
- Zraven paše še Heartbeat
8
- Postavi IRC strežnik (InspIRCd), nakonfiguriraj 6668 (6669?) port za kriptirano komunikacijo
9
- Postavi DHCP strežnik (ISC dchp), ter agente za forward requestov preko VLAN-ov
10
- Postavi RADIUS strežnik (FreeRADIUS) in .1x autentikacijo v mreži
- Postavi LDAP strežnik (OpenLDAP) za bazo userjev
- Config LDAP da bo delal preko 636 porta
11
- Nekaj random software-a v kontekstu networka/ipsec:
-- Traefik
-- strongSwan
12
- BGP software:
-- BIRD
-- Quagga
-- ExaBGP
-- FRRouting
-- XORP
13
- Pa še VOIP, mogoče full zanimiva reč:
-- Kamailio SIP
-- Asterisk
14
- Security software:
-- Fail2ban
-- OpenVAS
-- OPNSense
-- pfSense
Setup si lahko postaviš tako, da imaš za vsako storitev/servis svoj VPS v svojem VLAN-u.
In mogoče tako, da so povezani kot veriga. Se pravi, če je client v VLAN-u 10.0.0.0/24 in želiš it do IP-ja 10.0.5.2/32, greš preko 10.0.1.0/24, potem preko 10.0.2.0/24, potem preko 10.0.3.0/24, in 10.0.4.0/24, do cilja. Tu se verjetno lahko testira te "fore" z ruting tabelami (RIP, OSPF ?).
Kar se OS-a tiče, lahko malo mixaš: Debian, CentOS, Fedora, Slackware, openSUSE, Kali, ter Free/Net/Open BSD.
Za virtualizacijo lahko naštudiraš KVM.
15
- Skoraj pozabil. Vzporedno IPv4 še naconfi kak IPv6 subnet/routing...
1
- Registriraj domeno
- Postavi si DNS strežnik (BIND9)
- Nakonfiguriraj DNSSEC, DNS overt TLS, DNS over HTTPS
- Gledaj log fajl, kdo ti dela query-je, kako pogosto...
2
- Postavi Postfix + Dovecot + OpenDKIM + SpamAssassin + Clam Antivirus
- Skonfiguriraj OpenDKIM, SPF
- Skonfiguriraj SMTP na portu 587
- Nakonfiguriraj SMTP, da se bo obnašal kot open relay, in vse poslane (spam) maile shranjuje na lokalni disk
- Glej log fajle, maile...
3
- Postavi Nginx, ki ima HTTP in HTTPS interface
- Skonfiguriraj ga tako, da bo vse requeste (GET, POST, HEAD) shranjeval v neko bazo
(vmesnik je lahko s Python + uWSGI, ali PHP + php-fpm, ali JS + Node.js, ...)
- Analiziraj log file, traffic....
4
- Postavi Proxy (Squid3, mimtproxy) za HTTP in HTTPS
- Testiraj promet, proxt caching...
5
- Postavi CA/PKI infrastrutkuro (EasyRSA)
- Root CA, intermediate CA, issuing CA
- Izdaj certe za lokalne servise, uvozi certe v lokalni PC
- Testiraj CRL listo
6
- Postavi VPN strežnik (OpenVPN)
- Testiraj dostop preko različnih subnet-ovm, push routing tables...
- Naredi VPN tunel med dvema strežnikoma, ki sta v različnih VLANih, a istem IP subnetu (192.186.0.0/24)
- Vzpostavi komunikacijo med dvema PC-jema preko tega VPN-ja
7
- Postavi High Availability (HAProxy) in za njim postavi storitve (DNS, HTTP, VPN, ...)
- Postavi Caching Server (Varnish Cache, Memcached) in potestiraj, koliko se da prišparat na prometu...
- Zraven paše še Heartbeat
8
- Postavi IRC strežnik (InspIRCd), nakonfiguriraj 6668 (6669?) port za kriptirano komunikacijo
9
- Postavi DHCP strežnik (ISC dchp), ter agente za forward requestov preko VLAN-ov
10
- Postavi RADIUS strežnik (FreeRADIUS) in .1x autentikacijo v mreži
- Postavi LDAP strežnik (OpenLDAP) za bazo userjev
- Config LDAP da bo delal preko 636 porta
11
- Nekaj random software-a v kontekstu networka/ipsec:
-- Traefik
-- strongSwan
12
- BGP software:
-- BIRD
-- Quagga
-- ExaBGP
-- FRRouting
-- XORP
13
- Pa še VOIP, mogoče full zanimiva reč:
-- Kamailio SIP
-- Asterisk
14
- Security software:
-- Fail2ban
-- OpenVAS
-- OPNSense
-- pfSense
Setup si lahko postaviš tako, da imaš za vsako storitev/servis svoj VPS v svojem VLAN-u.
In mogoče tako, da so povezani kot veriga. Se pravi, če je client v VLAN-u 10.0.0.0/24 in želiš it do IP-ja 10.0.5.2/32, greš preko 10.0.1.0/24, potem preko 10.0.2.0/24, potem preko 10.0.3.0/24, in 10.0.4.0/24, do cilja. Tu se verjetno lahko testira te "fore" z ruting tabelami (RIP, OSPF ?).
Kar se OS-a tiče, lahko malo mixaš: Debian, CentOS, Fedora, Slackware, openSUSE, Kali, ter Free/Net/Open BSD.
Za virtualizacijo lahko naštudiraš KVM.
15
- Skoraj pozabil. Vzporedno IPv4 še naconfi kak IPv6 subnet/routing...
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zgodovina sprememb…
- spremenilo: HotBurek ()
pegasus ::
Lušten seznamček. Dodal bi še osnovno mučkanje z raznoraznimi web aplikacijami (nekaj php based, pa kak ruby, node.js in mogoče še kaj bolj eksotičnega), da se spoznaš s temi zadevami v praksi. Ko daš vse to čez, počasi ugotiviš, kaj te zanima in si poiščeš orodje, da si vsa redna opravila avtomatiziraš (cfengine, puppet, ansible, ...). Spotoma si poglej še mehanizem pxe boota in deploymenta (dhcp+tftp), lahko zložiš skupaj na roke ali uporabiš kako orodje v ta namen (npr. foreman). In potem se lahko greš prodajat za devopa ;)
mahoni ::
Lušten seznamček. Dodal bi še osnovno mučkanje z raznoraznimi web aplikacijami (nekaj php based, pa kak ruby, node.js in mogoče še kaj bolj eksotičnega), da se spoznaš s temi zadevami v praksi. Ko daš vse to čez, počasi ugotiviš, kaj te zanima in si poiščeš orodje, da si vsa redna opravila avtomatiziraš (cfengine, puppet, ansible, ...). Spotoma si poglej še mehanizem pxe boota in deploymenta (dhcp+tftp), lahko zložiš skupaj na roke ali uporabiš kako orodje v ta namen (npr. foreman). In potem se lahko greš prodajat za devopa ;)
Ene pol leta bi rabil za tale seznam IMO..., ker vse delam v prostem casu in le tega je na voljo malo. Je pa tale seznam res dober road map za devopa.
SeMiNeSanja ::
Po moje pa malo pretiravate.
Jaz sem zagovornik pristopa "loti se, ko boš dorasel - tistega, čemur si dorasel". Nekje začneš in slediš naravnemu toku razvoja / nadgrajevanja omrežja.
Tako spoznavaš sproti ZAKAJ se v omrežje vpeljuje to ali ono opcijo oz. tehnologijo. Ker vidiš dejansko potrebo, tudi implementacija potem sledi do 'uporabnosti'.
V nasprotnem primeru, ko obdeluješ nek spisek, se ti hitro zgodi, da nekaj implemetiraš, zgolj zato, da narediš tisto kljukico - ne da bi zares razumel potrebo, še manj pa da bi razumel, koliko v globino je treba stvar skonfigurirati, da bi bila zares uporabna.
Vedno je tudi vprašanje, ali hočeš od vsega 'nekaj' znat, ali pa bi se rad za neko področje bolj specializiral.
V slednjem primeru dejansko zadošča, da se z vsem ostalim srečaš toliko, da veš 'kako gre' in morda narediš kakšen hiter proof of concept, potem pa greš dalje - ves čas pa se ob tem fokusiraš na to, kako aktualna eksperimentiranja vplivajo na tisto primarno področje, v katero se želiš bolj poglobiti.
Jaz sem zagovornik pristopa "loti se, ko boš dorasel - tistega, čemur si dorasel". Nekje začneš in slediš naravnemu toku razvoja / nadgrajevanja omrežja.
Tako spoznavaš sproti ZAKAJ se v omrežje vpeljuje to ali ono opcijo oz. tehnologijo. Ker vidiš dejansko potrebo, tudi implementacija potem sledi do 'uporabnosti'.
V nasprotnem primeru, ko obdeluješ nek spisek, se ti hitro zgodi, da nekaj implemetiraš, zgolj zato, da narediš tisto kljukico - ne da bi zares razumel potrebo, še manj pa da bi razumel, koliko v globino je treba stvar skonfigurirati, da bi bila zares uporabna.
Vedno je tudi vprašanje, ali hočeš od vsega 'nekaj' znat, ali pa bi se rad za neko področje bolj specializiral.
V slednjem primeru dejansko zadošča, da se z vsem ostalim srečaš toliko, da veš 'kako gre' in morda narediš kakšen hiter proof of concept, potem pa greš dalje - ves čas pa se ob tem fokusiraš na to, kako aktualna eksperimentiranja vplivajo na tisto primarno področje, v katero se želiš bolj poglobiti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
pegasus ::
To se da filozofirat, ja ... razmerje med širino in globino je precej odvisno od posameznikove osebnosti in okolja, v katerem se razvija. Lahko si vse od "profesorja", ki ve vse o vsem in ne zna nič narest do fachidiota, ki zna delat samo eno stvar, a tisto res svetovno dobro. Večina nas pristane nekje vmes.
SeMiNeSanja ::
To se da filozofirat, ja ... razmerje med širino in globino je precej odvisno od posameznikove osebnosti in okolja, v katerem se razvija. Lahko si vse od "profesorja", ki ve vse o vsem in ne zna nič narest do fachidiota, ki zna delat samo eno stvar, a tisto res svetovno dobro. Večina nas pristane nekje vmes.
Tudi "Fachidiot" ne moreš biti, če nič/premalo poznaš širino.
Nekje si mora vsak najti tisto opcijo, ki njemu (oz. njegovemu poslu) ustreza. Vsiljevati nekomu nekaj pa po moje prej škoduje kot koristi.
Predvsem se meni zdi pomembno, da razumeš zakaj se določene reči potrebuje, po katerih načelih delujejo in kakšen vpliv/posledice imajo na ostale komponete/ sisteme v omrežju.
Če to obvladuješ, se hitro lahko dodatno poglobiš v neko konkretno področje, če/ko se za to pokaže potreba.
Predvsem pa potrebuješ kar čim več širine, ko prideš do poglavja, ki se imenuje "support & troubleshooting". Bolj ko razumeš povezave, lažje boš odkril vzrok težav.
Lahko npr. poveš, da je vzrok v nastavitvah DNS - čeprav morda ne veš niti kateri DNS strežnik je na drugi strani, kaj šele kako se ga konfigurira.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
mahoni ::
Se strinjam s teboj SeMiNeSanja.
Sem se pogovarjal s prijateljem in mu dal ta seznam in je mnenja, da mi bo to le malo pomagalo, da se postavim na lestvico visje. Tle imam mesano misljenje, saj so v seznamu lepe stvari, ampak koliko je to znanje potrebno v nekem podjetju je vprasanje.
On je mnenja, da moram iti na bolj komercialne, enterprise resitve.
Doma imam od komercialne resitve ESXi z vSphere s full licenco, moram samo se nabavit dodatni server, da se lahko igram razne HA, clustering ipd.
Za mrezo potem najbolje, da vrzem ven Sophos UTM resitev in se grem igrat s Cisco resitvijo okrog FW-ja...
Sem se pogovarjal s prijateljem in mu dal ta seznam in je mnenja, da mi bo to le malo pomagalo, da se postavim na lestvico visje. Tle imam mesano misljenje, saj so v seznamu lepe stvari, ampak koliko je to znanje potrebno v nekem podjetju je vprasanje.
On je mnenja, da moram iti na bolj komercialne, enterprise resitve.
Doma imam od komercialne resitve ESXi z vSphere s full licenco, moram samo se nabavit dodatni server, da se lahko igram razne HA, clustering ipd.
Za mrezo potem najbolje, da vrzem ven Sophos UTM resitev in se grem igrat s Cisco resitvijo okrog FW-ja...
Invictus ::
SeMiNeSanja je izjavil:
Tudi "Fachidiot" ne moreš biti, če nič/premalo poznaš širino.
To sicer ni čisto res...
"Fachidiot" se lahko vedno proda. Pač obvladaš določen softver. Nič kritičnega.
Je tudi odvisno od dela. Če se prodajaš kot nek freelancer/contractor, je biti Fachidiot čisto fajn, saj se s samo vsebino ne ukvarjaš. Narediš svoje in je to to.
Če nekje skrbiš za infrastrukturo, se pa prilagodiš. Ni neke panike.
Učiš se tisto, kar te veseli. Drugače hitro postane naporno...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
pegasus ::
je mnenja, da mi bo to le malo pomagalo, da se postavim na lestvico visje.Tudi tu se da filozofirat. Moje mnenje (in opažanje) je, da so vsi na najvišjih položajih zelo dobro podkovani v osnovah, kar jim omogoča, da samo opazujejo, kako določena komercialna rešitev implementira te osnove. Tako lahko iz rokava stresejo primerjavo treh različnih komercialnih rešitev in predlagajo najboljšo za določeno situacijo. Kdor tega nima, mora iti skozi dolg proces evaluacije vseh treh in se na koncu odloči za tisto, kjer dobi največji popust :D
Tako da ja, v nekaterih okoljih je poznavanje komercialnega softvera bolj zaželjeno od poznavanja odprtokodnih rešitev, ni pa to končni cilj, najvišja stopnica. Kot sem že rekel, stvar osebnosti posameznika in okolja, kaj si bo izbral.
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Tudi "Fachidiot" ne moreš biti, če nič/premalo poznaš širino.
To sicer ni čisto res...
"Fachidiot" se lahko vedno proda. Pač obvladaš določen softver. Nič kritičnega.
Je tudi odvisno od dela. Če se prodajaš kot nek freelancer/contractor, je biti Fachidiot čisto fajn, saj se s samo vsebino ne ukvarjaš. Narediš svoje in je to to.
Če nekje skrbiš za infrastrukturo, se pa prilagodiš. Ni neke panike.
Učiš se tisto, kar te veseli. Drugače hitro postane naporno...
Jaz se imam za neke sorte Firewall Fachidiota (priznam)..... ampak si ne znam predstavljati supporta strankam, če nebi imel izredno širokega znanja z vseh mogočih in nemogočih področij mreženja, operacijskih sistemov in aplikacij.
Pri tej širini se seveda nikakor ne moreš spuščati v nevem kakšno globino, je pa zelo pomembno, da tisto kar znaš, zmoreš tudi logično povezovati z zgodbami in simptomi, ki ti jih stranke opisujejo. Podpora požarnim pregradam je (pre)pogosto podpora vsemu mogočemu in nemogočemu drugemu na omrežju in nekako moraš biti tudi temu dorasel.
Druga zgodba je, če si zgolj prodajalec.... Tisti pogosto še Fachidiot ni ampak zgolj nadudlan papagaj, ki so ga naučili ustvarjati 'vtis' in 'prepričevati' potencialne kupce. Načini in metode pa pri tem niso nujno vedno povezane z lastnostmi, zmožnostmi in kakovostjo rešitev, katere ponuja....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Za mrezo potem najbolje, da vrzem ven Sophos UTM resitev in se grem igrat s Cisco resitvijo okrog FW-ja...
To mi izgleda kot da greš iz ene skrajnosti v drugo?
Sicer ni nič slabega, če lahko kje dobiš poceni staro ASA napravo, vendar tu potem pristaneš na precej basic zadevah. Je Sophos bil tu že precej višji rang 'rešitve'.
Ali na Sophosu ne moreš enostavno izklopiti IPS, če ti ta požre preveč throughput-a? Ali so tudi ostali fičerji taki performance killerji, da se ni veselje igrat z njim? Jaz sicer nisem Sophos navdušenec - daleč od tega - za moj okus je preveč 'poenostavljen'.
Na Ciscu namreč tudi ne boš imel IPS-a. ampak tudi ostalih servisov ne boš imel. Bo pa vsekakor performančno bolj odziven, saj ne rabi početi drugega, kot premetavati pakete, ne da bi pogledal vanje.
Nič narobe, če se spoznaš tudi s Cisco ampak jaz se tu nebi ustavil. Imaš še kakšen pfSense in kopica drugih, tudi komercialnih požarnih pregrad, ki jih lahko vsaj kot začasni demo (30 dni za spoznavanje) namestiš.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Invictus ::
SeMiNeSanja je izjavil:
Jaz se imam za neke sorte Firewall Fachidiota (priznam)..... ampak si ne znam predstavljati supporta strankam, če nebi imel izredno širokega znanja z vseh mogočih in nemogočih področij mreženja, operacijskih sistemov in aplikacij.
Saj si sam povedal, sam se prodajaš strankam.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
jype ::
SeMiNeSanja je izjavil:
Po moje pa malo pretiravate.Ne, v resnici je seznam opravil, ki ga je objavil HotBurek, več kot le zgleden. V resnici bi ga lahko brez večjih težav predelal v knjigo za infosec začetnike, ki dejansko ponudi praktična znanja (za razliko od večine literature, ki poizkuša prodajat posamezne tehnologije posameznih velikanov).
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Po moje pa malo pretiravate.Ne, v resnici je seznam opravil, ki ga je objavil HotBurek, več kot le zgleden. V resnici bi ga lahko brez večjih težav predelal v knjigo za infosec začetnike, ki dejansko ponudi praktična znanja (za razliko od večine literature, ki poizkuša prodajat posamezne tehnologije posameznih velikanov).
Ti bi človeku zagabil to področje še predenj se sploh z njim začne ukvarjati!
Moja pripomba o pretiravanju se je nanašala na preobilico 'nalog' za začetnika.
Poleg tega za začetnika povsem zadošča, če večino naštetih servisov spozna na Windows serverju in/ali alternativno kakšni Linux server distribuciji.
Prav nobene potrebe ni, da čisto vsak servis namešča in konfigurira kot samostojni paket. Po možnosti, da se potem na koncu še frustrira z M4 in podobnimi zadevami.
Po domače povedano: začetniku ste natresli seznam, ki ga še marsikateri od vas, ki ima bistveno daljšo kilometrino, ne obvlada.
Na koncu vse skupaj že skoraj tako izpade kot tisti mojster, ki vajenca pošlje po "Augenmaß"....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
jype ::
SeMiNeSanja je izjavil:
Ti bi človeku zagabil to področje še predenj se sploh z njim začne ukvarjati!Ne sodi drugih po sebi, no. Vemo, da je zate to področje pretežko, ker ne razumeš niti osnov, ampak niso vsi ljudje takšni.
SeMiNeSanja je izjavil:
Po domače povedano: začetniku ste natresli seznam, ki ga še marsikateri od vas, ki ima bistveno daljšo kilometrino, ne obvlada.Dej ne prbiji, no. Vsak dvanajst let star froc to zmore, strokovnjaki za gospodarstvo s slo-techa ste pa pač posebni, pa ne morete. Saj vas nihče ne obsoja, samo nehajte smetit po forumu z vašim jamranjem, da ne bo revež dobil vtisa, da gre za črno magijo ki ima licenco za uporabo petkrat daljšo od navodil.
SeMiNeSanja je izjavil:
Na koncu vse skupaj že skoraj tako izpade kot tisti mojster, ki vajenca pošlje po "Augenmaß"....Imam idealno anekdoto zate:
On the other hand, the TCP camp also has a phrase for OSI people.
There are lots of phrases. My favorite is `nitwit' -- and the rationale
is the Internet philosophy has always been you have extremely bright,
non-partisan researchers look at a topic, do world-class research, do
several competing implementations, have a bake-off, determine what works
best, write it down and make that the standard.
The OSI view is entirely opposite. You take written contributions
from a much larger community, you put the contributions in a room of
committee people with, quite honestly, vast political differences and all
with their own political axes to grind, and four years later you get
something out, usually without it ever having been implemented once.
So the Internet perspective is implement it, make it work well,
then write it down, whereas the OSI perspective is to agree on it, write
it down, circulate it a lot and now we'll see if anyone can implement it
after it's an international standard and every vendor in the world is
committed to it. One of those processes is backwards, and I don't think
it takes a Lucasian professor of physics at Oxford to figure out which.
-- Marshall Rose, "The Pied Piper of OSI"
Zgodovina sprememb…
- predlagalo izbris: SeMiNeSanja ()
SeMiNeSanja ::
Dost imam nesramnega trolanja samovšečnega nevzgojenega arogantneža.
Zdaj samo še predlagam za izbris.
Zdaj samo še predlagam za izbris.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
jype ::
SeMiNeSanja je izjavil:
Zdaj samo še predlagam za izbris.Ko zmanjka argumentov, se zatečete k nasilju. Razumem, a ne odobravam.
Zgodovina sprememb…
- predlagalo izbris: SmeskoSnezak ()
mahoni ::
Ne razumem tega kreganja, ampak ok...
dejte mi prosim povedat, cesa naj se znebim v svojem okolju oziroma kako naj optimiziram zadevo.
Trenutno:
1 - Windows Server 2019 DNS
2 - Forwarder na Pi-Hole
Ne bi rad imel v svojem okolju 5 razlicnih DNS serverjev in forwarderjev.
Bo tole najbolj secure zadeva? Ce ja, naj ugasnem Windows Server in Pi-Hole in imam vse preko pfSense?
dejte mi prosim povedat, cesa naj se znebim v svojem okolju oziroma kako naj optimiziram zadevo.
Trenutno:
1 - Windows Server 2019 DNS
2 - Forwarder na Pi-Hole
Ne bi rad imel v svojem okolju 5 razlicnih DNS serverjev in forwarderjev.
Bo tole najbolj secure zadeva? Ce ja, naj ugasnem Windows Server in Pi-Hole in imam vse preko pfSense?
HotBurek ::
Krega se o tem, al je seznam preveč naloudan za začetnika al ne.
Ter, ali se splača učit osnove računalništva na način, da dobiš univerzalno znanje in s tem širino, ali pa je bolje it na bolj ozko usmerjeno pot, kjer se učiš software, kot si ga je zamisli dotični vendor (npr. OpenLDAP vs. Active Directory, Postfix vs. Exchange).
Kakor koli že. Tisto, kar pri tvojem pisanju mogoče ni najbolj jasno, je to, ali je tvoj cilj, da "optimiziraš domače omrežje", ali da se naučiš kaj novega. To je fajn, da napišeš bolj jasno.
Ker če želiš optimizirat, imej eno network napravo (router), mogoče še pihole, ostalo pa prodaj, ker ne rabiš.
Po drugi strani, če se želiš (na)učiti network stuff, potem je 5 DNS-jev v svojem okolju eden izmed načinov, da se boš naučil forwarding, caching, itn.
Ter, ali se splača učit osnove računalništva na način, da dobiš univerzalno znanje in s tem širino, ali pa je bolje it na bolj ozko usmerjeno pot, kjer se učiš software, kot si ga je zamisli dotični vendor (npr. OpenLDAP vs. Active Directory, Postfix vs. Exchange).
Kakor koli že. Tisto, kar pri tvojem pisanju mogoče ni najbolj jasno, je to, ali je tvoj cilj, da "optimiziraš domače omrežje", ali da se naučiš kaj novega. To je fajn, da napišeš bolj jasno.
Ker če želiš optimizirat, imej eno network napravo (router), mogoče še pihole, ostalo pa prodaj, ker ne rabiš.
Po drugi strani, če se želiš (na)učiti network stuff, potem je 5 DNS-jev v svojem okolju eden izmed načinov, da se boš naučil forwarding, caching, itn.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
mahoni ::
Oboje. Prioriteta ucenje in spoznavanje nacinov, ter ko se naucim, da znam tudi optimizirati zadevo.
Recimo sedaj sem preusmeril DNS requeste direktno na pfsense in omogocil DNS over TLS.
Vseeno bi rad ohranil interni Windows Server 2019 DNS, ker ne maram IP naslovov in opozoril okrog self signed certifikatov. In v ta namen je tudi interni DNS (nocem uporabljat windows host tabele, ker potem deluje samo na eni napravi in se mi ne da to tipkat povsod), ter interni CA.
Ve kdo, kako bi sedaj zrihtal, da mi notranji requesti gredo na interni DNS, vse kar je interno, pa da gre na pfSense.
In potem se postavlja vprasanje s cim naj nadomestim pi-hole. Z pfblockerNG-jem?
Mogoce se komu zdi tole smesno, ampak jaz imam taksen nacin ucenja, najprej nekaj probam, se naucim, razdrem in potem spet nekaj probam...
Recimo sedaj sem preusmeril DNS requeste direktno na pfsense in omogocil DNS over TLS.
Vseeno bi rad ohranil interni Windows Server 2019 DNS, ker ne maram IP naslovov in opozoril okrog self signed certifikatov. In v ta namen je tudi interni DNS (nocem uporabljat windows host tabele, ker potem deluje samo na eni napravi in se mi ne da to tipkat povsod), ter interni CA.
Ve kdo, kako bi sedaj zrihtal, da mi notranji requesti gredo na interni DNS, vse kar je interno, pa da gre na pfSense.
In potem se postavlja vprasanje s cim naj nadomestim pi-hole. Z pfblockerNG-jem?
Mogoce se komu zdi tole smesno, ampak jaz imam taksen nacin ucenja, najprej nekaj probam, se naucim, razdrem in potem spet nekaj probam...
HotBurek ::
Ve kdo, kako bi sedaj zrihtal, da mi notranji requesti gredo na interni DNS, vse kar je interno, pa da gre na pfSense.
Tole vsaj meni ni najbolj jasno... Klienti v omrežju načeloma dobijo nastavitve od DHCP strežnika; ta poleg IP, Subnet, Gateway pošlje tudi seznam DNS strežnikov. Na Windblows je to ipconfig /all, na linuxih pa ifconfig.
Mogoče bi bilo gut, da na list papirja narišeš, kako imaš sedaj postavljeno, kakšne VLAN-e imaš, kje je DNS, kam želiš da gredo requesti, kje je pfSense, kje je Pi-hole, kje so klienti, itn....ter poslikaš in prilepiš sem gor.
Tole vsaj meni ni najbolj jasno... Klienti v omrežju načeloma dobijo nastavitve od DHCP strežnika; ta poleg IP, Subnet, Gateway pošlje tudi seznam DNS strežnikov. Na Windblows je to ipconfig /all, na linuxih pa ifconfig.
Mogoče bi bilo gut, da na list papirja narišeš, kako imaš sedaj postavljeno, kakšne VLAN-e imaš, kje je DNS, kam želiš da gredo requesti, kje je pfSense, kje je Pi-hole, kje so klienti, itn....ter poslikaš in prilepiš sem gor.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zgodovina sprememb…
- spremenilo: HotBurek ()
mahoni ::
Ve kdo, kako bi sedaj zrihtal, da mi notranji requesti gredo na interni DNS, vse kar je interno, pa da gre na pfSense.
Tole vsaj meni ni najbolj jasno... Klienti v omrežju načeloma dobijo nastavitve od DHCP strežnika; ta poleg IP, Subnet, Gateway pošlje tudi seznam DNS strežnikov. Na Windblows je to ipconfig /all, na linuxih pa ifconfig.
Mogoče bi bilo gut, da na list papirja narišeš, kako imaš sedaj postavljeno, kakšne VLAN-e imaš, kje je DNS, kam želiš da gredo requesti, kje je pfSense, kje je Pi-hole, kje so klienti, itn....ter poslikaš in prilepiš sem gor.
Sem ze zrihtal.
DNS request gre sedaj na interni Windows DNS streznik, tam je nastavljen forwarder na PI-Hole, tam izbrani cloudflare in Quad9 DNS strezniki, ki imajo DNSSEC.
Ocitno je veliko razlicnih nacinov kako in kje imeti DNS streznik. Jaz zelim imeti tako kot se to dela v nekem Enterprise okolju. Seveda bi lahko imel od DNS, do Radiusa, do Guest WLAN-ov na DD-WRT, ampak to mi ni cilj, oziroma lahko bi to vse imel celo na Ruterju od ISP-ja...
HotBurek ::
Če želiš tako, kot v enterprise okoljih, se skonekti z uporavljalci strežnikov 193.189.160.13 in 193.189.160.23 (Telekom), ali pa 193.2.1.66 in 193.2.1.72 (Arnes).
Če si na Winblows PC-ju; poznaš NetMon tool? S tem lahko gledaš promet na PC-ju ter broadcast-e...
Če si na Winblows PC-ju; poznaš NetMon tool? S tem lahko gledaš promet na PC-ju ter broadcast-e...
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zgodovina sprememb…
- spremenilo: HotBurek ()
SeMiNeSanja ::
Krega se o tem, al je seznam preveč naloudan za začetnika al ne.
Ter, ali se splača učit osnove računalništva na način, da dobiš univerzalno znanje in s tem širino, ali pa je bolje it na bolj ozko usmerjeno pot, kjer se učiš software, kot si ga je zamisli dotični vendor (npr. OpenLDAP vs. Active Directory, Postfix vs. Exchange).
Narobe si razumel.
V sami osnovi je seznam explicitno 'Linuxaški', tako da že v osnovi zanemarja Windows specifična znanja. S tem je seznam že kot tak 'ozkogleden' in izključujoč.
Moj pomislek ni bil na ozko-široko, temveč ali 'obdelovati seznam od točke do točke' ALI nekje začeti (npr. da si namestiš Linux server distribucijo + Windows server + Windows odjemalec) in na osnovi tega pričeti z vzpostavljanjem 'funkcionalnega okolja', karkšnega bi srečeval v realnih podjetjih. Po nekem logičnem zaporedju, tako kot tudi v podjetju 'raste' omrežje in storitve na njemu.
Torej ne 'ozko specifično' temveč 'bližje realnim omrežjem' s katerimi se boš srečeval.
Na ta način NAJPREJ osvojiš NUJNO znanje. Ostalo na spisku, pa lahko kasneje obdelaš kot 'bonus', če te sploh zanima npr. vzpostavljanje IRC serverja (pri meni nima kaj iskat na mreži, pa tudi do zunanjih ne dovolim dostop). Dlje kot se ukvarjaš z področjem, bolj je verjetno, da boš prej ali slej 'obdelal' večino točk na seznamu. Zagotovo pa je kar nekaj točk na njemu, ki ne spadajo pod 'nujno znanje', sploh pa ne za začetnika.
Predvsem pa bi k seznamu dodal še eno veliko poglavje: namesti in skonfiguriraj ekvivalente -UX servisov na Windows platformi.
Že prav, če znaš namestiti BIND na Linux (in to mogoče tudi iz source kode?), ampak ravno tako moraš obvladat tudi DNS fore na Windows-ih. Samo bedak lahko ignorira obstoj Windows platforme. Poleg tega je 'nameščanje zaradi nameščanja' (oz. obdelovanje spiska od točke do točke) vprašljivega smisla, če zadevo potem ne uporabljaš, da bi se sploh lahko srečeval z različnimi praktičnimi težavami, ki so lahko posledica take ali drugačne konfiguracije servisov. Nič kaj dosti koristi ni od tega, če znaš servis namestiti, če ne razumeš kaj 'dela', zakaj se uporablja in kako mora biti za to nastavljen. To pa se naučiš preko praktične uporabe.
Nekako je bil moj predlog v smeri, da se bolj posveti stvarem, ki jih moraš res obvladat, ne pa da se zezaš z neko marginalno zadevo, zmanjka pa ti na bistvenih področjih.
Drugi pomislek pa je bil glede posameznih distribucij servisov vs. 'Server paket', kjer samo še konfiguriraš nastavitve servisov.
Sam sem FreeBsd in Linux začel 'osvajat' v ranih dnevih, ko je bil internet za 'smrtnike' še prepočasen, tako da sem se naročil na distribucijo na CD-jih.
Takrat kot začetnik nisi imel take potuhe, kot imaš danes pri Linux serverskih distribucijah, kjer ti kot začetniku že sama distribucija odvzame 'skrb' glede tega, kateri paket boš uporabil za DNS, SMTP, ... in za povrhu ti še dodajo enotno okolje za konfiguriranje, medtem ko si bil takrat prisiljen vse 'štelat' v konfiguracijskih datotekah. Ker so to bili časi še izpred Windows registry-ja, smo takointako bili vajeni vse štelat v konfiguracijskih datotekah, tako da to ni bilo nek problem.
Danes pa za začetnika povsem zadošča, če za začetek zna uporabiti to, kar mu že sama distribucija ponuja (običajno je to najbolje optimirano zanjo). Bistvo je uporaba servisa, ne pa 'inštalacija' (to še opico naučiš, da odklofa 'apt-get install').
Skratka... vprašanje je, ali hočeš 'izšolati' teoretika ali praktika.
Teoretikov je že tako preveč. Jih poznam polno, ki 'obvladajo' zgornji seznam. Ko pa pride do problema, pa pojma nimjo kaj bi ga lahko povzročalo, kaj šele kako bi ga odpravili.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Če želiš tako, kot v enterprise okoljih, se skonekti z uporavljalci strežnikov 193.189.160.13 in 193.189.160.23 (Telekom), ali pa 193.2.1.66 in 193.2.1.72 (Arnes).
Če si na Winblows PC-ju; poznaš NetMon tool? S tem lahko gledaš promet na PC-ju ter broadcast-e...
? 'upravljalci strežnikov'?!?
Očitno si mislil na forwarderje.
Teoretično naj bi bili DNS strežniki lastnega ISP-ja za vsakoga najhitrejši. V praksi pa žal temu ni tako. Jaz sem testiral odzivnost javnih strežnikov (GRC ima neko orodje za to) in moral ugotoviti, da obstaja vrsta odzivnejših strežnikov, na katere sem si potem prekonfiguriral DNS.
"Kot Enterprise" v prvi vrsti pomeni, da imaš tudi sam lastni primarni javni DNS pri sebi in ga urejaš - vključno z reverse DNS (ta postane zabaven za mali range IP adres).
Netmon je skoraj 10 let stara opuščena zadeva, ki jo kar takoj pozabi.
Vzameš Wireshark in stvar rešena. Uporaba je pa potem spet druga zgodba...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
mahoni ::
Danes sem uspesno skonfiguriral WLAN za goste, ki ima dostop samo do interneta s pomocjo VLAN-ov.
Sel sem po osnovnem basic primeru. VLAN na pfsense, 2 pravila za blok do LAN-a ter dostop do interneta (tudi to bi lahko dejansko zdruzil v eno pravilo s funkcijo invert, ampak pustmo to), VLAN na OpenWRT (prej sem imel ddwrt in sem se izgubil okrog VLAN-ov), trunk na cisco switchu in to je to.
Tole bi rad sedaj se bolj optimiziral in priblizal enterprise okolju in sicer, rad bi da klienti dobijo IP naslov z internega Windows DHCP streznika.
Predvidevam, da moram le odpreti promet do mojega internega DHCP streznika. Se kaj drugega?
Sel sem po osnovnem basic primeru. VLAN na pfsense, 2 pravila za blok do LAN-a ter dostop do interneta (tudi to bi lahko dejansko zdruzil v eno pravilo s funkcijo invert, ampak pustmo to), VLAN na OpenWRT (prej sem imel ddwrt in sem se izgubil okrog VLAN-ov), trunk na cisco switchu in to je to.
Tole bi rad sedaj se bolj optimiziral in priblizal enterprise okolju in sicer, rad bi da klienti dobijo IP naslov z internega Windows DHCP streznika.
Predvidevam, da moram le odpreti promet do mojega internega DHCP streznika. Se kaj drugega?
Poldi112 ::
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
mahoni ::
https://www.cisco.com/c/en/us/td/docs/s...
To je odgovor na moje vprasanje? Namrec tole nima veze kar sprasujem. Potrebno je uredit routing na Switchu...samo pac nisem se temu dorasel :(
Poldi112 ::
Če so klienti v istem vlan-u kot dhcp server, potem ne rabiš nič - zgolj skonfigurirat dhcp server. Če ne, pa link vsebuje tudi odgovor, je pa bolj mišljen kot odgovor na "enterprise" featurje. Recimo kako preprečiš, da ti nekdo, ki ti je hacknil wordpress, ne začne deliti svojih dhcp paketkov, kjer ti potem dela mitm. Ali skače med vlan-i, ker jih nisi zaklenil in imaš omogočeno, da si vzpostavi trunk.
Kako boš forwardiral dhcp na svojem routerju, da bo request prispel do win serverja, ter kako na vsaki napravi v verigi gledati, ali je paketek prispel, da ugotoviš, katera ga blokira, je pa odlična "domača naloga".
Pa zelo zelo zaželjeno je, da razumeš layer-je v komunikacijskem modelu (ehternet/ip/tcp/) ter osnovne protokole v vsakem, drugače bo kaos. :)
Kako boš forwardiral dhcp na svojem routerju, da bo request prispel do win serverja, ter kako na vsaki napravi v verigi gledati, ali je paketek prispel, da ugotoviš, katera ga blokira, je pa odlična "domača naloga".
Pa zelo zelo zaželjeno je, da razumeš layer-je v komunikacijskem modelu (ehternet/ip/tcp/) ter osnovne protokole v vsakem, drugače bo kaos. :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
SeMiNeSanja ::
Tole bi rad sedaj se bolj optimiziral in priblizal enterprise okolju in sicer, rad bi da klienti dobijo IP naslov z internega Windows DHCP streznika.
Predvidevam, da moram le odpreti promet do mojega internega DHCP streznika. Se kaj drugega?
Temu se reče DHCP Relay.
Ne vem kako ima konkretno pfSense zadevo urejeno, zato ti ne morem dati 'recepta', boš pa najbrž lažje naguglal rešitev, če boš iskal pod pojmom "pfSense VLAN DHCP Relay".
Vsak firewall te zadeve malo drugače obravnava, tako da se moraš dejansko malenkost poglobiti v posebnosti za vsako rešitev.
Na Watchguard vsak VLAN skonfiguriraš podobno kot ostale interface-e, tako da imaš na izbiro z/brez DHCP (in rezervacije) ali DHCP Relay. Namesto scope-a pri DHCP, tako konfiguriraš Relay - IP naslov DHCP strežnika, kateremu se posreduje zahteve (in vrača njegove odgovore).
Ker je zadeva 'integrirana' v core sistem, ni treba dodajati nobenih firewall pravil, da bi se prepustilo DHCP zahteve v drug LAN oz. VLAN.
Če moraš na pfSense dodajat eksplicitna pravila za Relay, preveri v kakšnem cookbook-u. Tega je kar dosti na netu.
Nekateri sistemi nimajo integriranega DHCP Relay-a. Pri teh potrebuješ zadevo, ki se ji reče "DHCP Relay Agent", ki je nekakšen proxy in prevzamo vlogo integriranega posrednika. Na pfSense mislim da je DHCP Relay integriran, zaradi česa se ne rabiš ubadat z "Agentom". Če npr. nebi imel pfSense in bi vse barantal le s switchem, pa bi potreboval takega "Agenta".
Bo dovolj logično? (Nehajte komplicirat preprostih zadev!)
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
mahoni ::
@SeMiNeSanja
Ja, dovolj logicno si napisal, hvala za razlago. Sem potem tudi sam dejansko pogruntal,ko sem malo guglal. Dejansko je tole top tema, ravno v casu, ko se pripravljam na MCSA 2016 Networking, pa se v knjigi je tole dobro opisano.
Mislim, da bom v parih dneh znal tole porihtat, samo da pridem do te teme. Ne zelim samo klikat po nekem tutorialu, temvec tudi razumeti ozadje.
Ja, dovolj logicno si napisal, hvala za razlago. Sem potem tudi sam dejansko pogruntal,ko sem malo guglal. Dejansko je tole top tema, ravno v casu, ko se pripravljam na MCSA 2016 Networking, pa se v knjigi je tole dobro opisano.
Mislim, da bom v parih dneh znal tole porihtat, samo da pridem do te teme. Ne zelim samo klikat po nekem tutorialu, temvec tudi razumeti ozadje.
mahoni ::
Uspel sem na oba nacina zrihtati DHCP Relay.
Sel sem najprej na tezji nacin preko Windows streznika, obstaja pa veliko lazji nacin in sicer v pfSense se izbere DHCP Relay in zadeva ze dela.
Zdej pa naprej RADIUS zrihtat.
Sel sem najprej na tezji nacin preko Windows streznika, obstaja pa veliko lazji nacin in sicer v pfSense se izbere DHCP Relay in zadeva ze dela.
Zdej pa naprej RADIUS zrihtat.
SeMiNeSanja ::
Zdej pa naprej RADIUS zrihtat.
NPS ? Ta del je lahko 'zabaven'...
V sklopu tega potem še WPA2 Enterprise na Wifi vklopi (ali v povezavi s čem boš uporabljal Radius?)
Jaz imam pri sebi Radius SingleSignOn na WiFi omrežju vzpostavljen, samo ne vem, še pfSense to tudi podpira. Pri tem se računalnik samodejno prijavi v WPA2 Enterprise SSID z user/pass, s katerem sem v Windows prijavljen, istočasno pa tudi požarni pregradi 'sporoči' kateri user se je prijavil na dodeljenem IP naslovu, kar se potem tudi beleži v logih, lahko pa tudi uporabljaš v firewall pravilih. Z eno samo prijavo se tako transparentno avtenticiraš na treh koncih.
Avtentikacija se na komercialnih požarnih pregradah uporablja tudi v pravilih požarne pregrade, kjer lahko delaš allow/deny pravila glede na uporabniško ime ali pripadnost neki uporabniški skupini. Tukaj pa mislim, a pfSense že ne dohaja več... Pri meni lahko direktno uporabnljam različne načine avtentikacije, od AD, LDAP, preko Radius, pa do interne baze na sami požarni pregradi.
V povezavi z avtentikacijo potem lahko naštrikaš še uporabniške kvote, QoS/limitiranje pasovne širine,....
Odvisno od proizvoda s katerim delaš (so lahko velikanske razlike) imaš na tem področju (ko je enkrat omogočena avtentikacija) lahko kar precej zabave.
Dokaj zanimivo zna biti (če imaš čas in voljo) raziskati razlike med različnimi firewall rešitvami, kaj ti omogočajo 'štrikat' na osnovi avtentikacije in kako enostavno oz. zapleteno to na posamezni rešitvi poteka.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
SeMiNeSanja ::
Pa ko se boš že igral z Radius-om, greš lahko še en korak naprej in kreiraš 30-dnevni demo account an AuthPoint-u in potem uporabljaš Radius dvostopenjsko avtentikacijo npr za VPN, stvar integriraš z AD in na koncu uporabljaš še za prijavo v Windows.
Ko poteče 30 dni, podreš zadevo in isto probaš še z DUO. Ta ima low-end 2fa celo brezplačen, tako da tega lahko potem tudi pustiš nameščenega.
Ko poteče 30 dni, podreš zadevo in isto probaš še z DUO. Ta ima low-end 2fa celo brezplačen, tako da tega lahko potem tudi pustiš nameščenega.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
mahoni ::
Tako je. RADIUS sem mislil za prijavo preko WPA2 Enterprise, pa ker imam ze CA (2-tier) porihtan bo za prijavo na omrezje poleg uporabniskega imena in gesla potreben tudi certifikat.
Za VPN imam zaenkrat Softether, prej sem imel 2factor auth na Sophos UTM-u in je delalo lepo. Softether mi je kar vsec, samo se moram malo bolj podrobno v njega poglobiti.
Se vprasanje okrog DHCP Releya.Kaj je bolj optimalno?
1.) Resitev z Routing and Remote Policy in gor porihtanim DHCP Relyem
2.) Direktno omogocen DHCP Relay na firewallu
Drug nacin je dejansko najbolj izi, sedaj ko poznam oba, bi zacel uporabljati najbolj optimalnega.
Pri prvem rabim pac dodaten server, sicer mam vse na Windows Core, ampak vseeno je en pac dodatni server.
Kar me se malo matra je Traffic shaping na pfsense. Sem se igral z wizardom in uspe mi omejit download na VLAN interfaceu, ampak upload ostane na max. Ni mi cisto jasno kako deluje in ali se to da rihtat se kje drugje al samo na firewallu. Mogoce na OpenWrtu-ju, ki je sedaj samo AP?
Za VPN imam zaenkrat Softether, prej sem imel 2factor auth na Sophos UTM-u in je delalo lepo. Softether mi je kar vsec, samo se moram malo bolj podrobno v njega poglobiti.
Se vprasanje okrog DHCP Releya.Kaj je bolj optimalno?
1.) Resitev z Routing and Remote Policy in gor porihtanim DHCP Relyem
2.) Direktno omogocen DHCP Relay na firewallu
Drug nacin je dejansko najbolj izi, sedaj ko poznam oba, bi zacel uporabljati najbolj optimalnega.
Pri prvem rabim pac dodaten server, sicer mam vse na Windows Core, ampak vseeno je en pac dodatni server.
Kar me se malo matra je Traffic shaping na pfsense. Sem se igral z wizardom in uspe mi omejit download na VLAN interfaceu, ampak upload ostane na max. Ni mi cisto jasno kako deluje in ali se to da rihtat se kje drugje al samo na firewallu. Mogoce na OpenWrtu-ju, ki je sedaj samo AP?
SeMiNeSanja ::
Jaz DHCP Relay vedno implementiram kar na požarni pregradi, ker je tam najbolj logično in kompaktno. Zakaj uvajat še eno možno točko, ki lahko povzroča težave? Če firewall/router crkne, takointako ne bo nič delalo, če pa imaš ekstra Relay Agent-e natrosene naokoli, boš pa vedno imel zatikanje, ko boš delal kakšne servisne posege na teh mašinah.
QoS pa bi se moral v celoti dati na pfSense strani urejat, brez da v to vpletaš "accesspoint". Bilo bi namreč precej nelogično, če na drugem žičnem subnetu ne moreš nadzirat porabo bandwidth-a v obe smeri (ker nimaš še enega routerja vmes).
Boš morl še malo brskat po kuharskih bukvah. Mogoče si kakšno opcijo spregledal?
QoS pa bi se moral v celoti dati na pfSense strani urejat, brez da v to vpletaš "accesspoint". Bilo bi namreč precej nelogično, če na drugem žičnem subnetu ne moreš nadzirat porabo bandwidth-a v obe smeri (ker nimaš še enega routerja vmes).
Boš morl še malo brskat po kuharskih bukvah. Mogoče si kakšno opcijo spregledal?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
mahoni ::
Zopet nov izziv, pa se mi poraja tu eno vprasanje.
Po tem tutorialu se lahko naredi, da gre NordVPN direktno preko pozarne pregrade. Vse lepo in prav, ampak mene zanima ali bi lahko uporabil drug WAN port in po potrebi cez tega fural VPN?
Oziroma kako nastaviti, da gre promet po zelji enkrat normalno preko ISP, spet drugic direktno preko VPN-ja.
https://support.nordvpn.com/#/path/1089...
Po tem tutorialu se lahko naredi, da gre NordVPN direktno preko pozarne pregrade. Vse lepo in prav, ampak mene zanima ali bi lahko uporabil drug WAN port in po potrebi cez tega fural VPN?
Oziroma kako nastaviti, da gre promet po zelji enkrat normalno preko ISP, spet drugic direktno preko VPN-ja.
https://support.nordvpn.com/#/path/1089...
pegasus ::
Vprašaj se, na podlagi česa se boš odločal, po kateri poti bo šel nek tcp paketek ven v svet. Odgovor kako to nastavit se bo potem pojavil sam.
mahoni ::
SeMiNeSanja je izjavil:
Jaz DHCP Relay vedno implementiram kar na požarni pregradi, ker je tam najbolj logično in kompaktno. Zakaj uvajat še eno možno točko, ki lahko povzroča težave? Če firewall/router crkne, takointako ne bo nič delalo, če pa imaš ekstra Relay Agent-e natrosene naokoli, boš pa vedno imel zatikanje, ko boš delal kakšne servisne posege na teh mašinah.
QoS pa bi se moral v celoti dati na pfSense strani urejat, brez da v to vpletaš "accesspoint". Bilo bi namreč precej nelogično, če na drugem žičnem subnetu ne moreš nadzirat porabo bandwidth-a v obe smeri (ker nimaš še enega routerja vmes).
Boš morl še malo brskat po kuharskih bukvah. Mogoče si kakšno opcijo spregledal?
Sem zrihtal. Stvar sem nastavil z 2 limiterja za celoten DHCP Scope za WLAN Guests.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | FirewallaOddelek: Omrežja in internet | 6504 (1695) | somebody16 |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 22395 (8243) | Daniel |
| » | IPS / IDS performanceOddelek: Omrežja in internet | 1735 (1455) | harmony |
| » | pfsense (strani: 1 2 )Oddelek: Kaj kupiti | 9953 (5659) | SeMiNeSanja |
| » | pfSense VPNOddelek: Omrežja in internet | 2741 (2144) | He-Man |