Ciao a tutti, dopo mille prove alla fine sono riuscito a fare una VPN, ho 2 problemini: il primo è che per accedere alla webgui da rete interna devo utilizzare quello della wan, il secondo è che non riesco ad accedere ai pc della rete quando mi connetto da remoto.

Ciao!  8)

Premesso che né seguendo la discussione né seguendo altri tutorial online sono riuscito ad entrare da remoto col servizio MS RDP ( :-[ :-[ :-[) ho deciso di ripartire da capo ricontrollando tutte le varie opzioni generali, avanzate, etc…
Con l'occasione ho potuto inserire una terza nic che mi faccia da DMZ.
Per quanto riguarda le varie opzioni... sembra tutto ok.

Vi carico le immagini delle cose che ho fatto che, per ora, sembrano funzionare tutte.

Ora... ho due domande:
[list]

perché se dalla LAN scrivo il Virtual IP 192.168.1.20 (che reindirizza al 192.168.2.20 che è sulla DMZ) vedo la pagina di login di pfSense? come faccio ad attivare il servizio di MS RDP verso il server di test nella DMZ? (premetto che in locale, sulla stessa, sottorete, funziona!)

Grazie per l'aiuto che spero mi darete… non so più che pesci pigliare (a botte!!!).  ;D


Credo che non possa. Ma cosa devi fare?
Fabio

è possibile anche con squidguard?

io dovrei farlo su win2008+squid+squidguard+NTLM

qualcuno può aiutarmi?
grazie

Magari se ci dai qualche altre informazione.

Tipo dal LOG dove fallisce in fase 1 o fase 2 della VPN ? Che classi di indirizzi ?

up

fabio, ho cercato di contattarti ma niente….

@mau9000:

Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN
Questo è il messaggio restituito dal log di SQL Server:
2014-05-17 06:45:45.13 Accesso    Errore: 18456, gravità: 14, stato: 8.
2014-05-17 06:45:45.13 Accesso    Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]
Io devo bloccare tutti gli ip che sbagliano la password almeno una volta

primario
Se è possibile cambiare la porta di default di 1433 per una porta oscura che sarebbe bene.
Si dovrebbe anche cambiare l'account admin predefinito e non usare "SA"
Se è possibile ridurre al minimo gli IPs (WAN) che possono collegarsi alla porta SQL dalla WAN.

Impostazioni per Snort.

Snort:WAN Settings:    Block Offenders
Snort:WAN Settings:    Kill States (Both)

È necessario configurare un "Alias​​" per IPs del server SQL nelle variabili Snort WAN Interface.
Firewall:ALIAS:    aggiungere "SQL_Servers"

Type - HOST, aggiungere tutti gli IPs (Lan) del server SQL, SAVE.

Snort:WAN Settings:WAN Variables:Define SQL_SERVERS    - aggiungere "SQL_Servers" alias

Se si utilizzano le regole di configurazione di Snort, attivare le "snort_sql.rules"
Snort:WAN Categories:    attivare le "snort_sql.rules"

Rivedere le regole in questa categoria "snort_sql.rules" per "Brute Force" e consentire a tali regole.

–------------------------------

È possibile utilizzare il Snort "Port Scanner Pre-Processor" che possa bloccare gli IP che cercano di scansionare il vostro indirizzo WAN, questo è un buon modo primo turno a bloccare i trasgressori.

Snort:WAN Settings:WAN Pre-Procs:    Attivare "Portscan Detection"

Protocol - All
Scan Type - All
Sensitivity - Medium
Memory Cap - 10000000

–-----------------------------

Se si dispone di memoria sufficiente, si può anche fare lo stesso sul "Snort LAN Interface". Tipicamente 2-3GB per "Interface"

Una volta completate le modifiche, è necessario riavviare il Snort "Interfacce" per applicare le nuove impostazioni.

–-----------------------------

Monitorare il Snort "Alerts TAB" per vedere le segnalazioni sospette di Falsi Positivi

Snort richiede un sacco di tempo per configurare. Ma alla fine aiuterà a proteggere la vostra "Network".

Hai bisogno di giocare con le regole "Snort SQL" per vedere quali regole bloccare questi tentativi di forza bruta. Non ho SQL Server esposto sulla WAN così non posso suggerisco quali regole utilizzare esattamente.

Questa è una guida inglese "Snort"
https://forum.pfsense.org/index.php?topic=61018.0

Mi sono dimenticato di postare la soluzione per i posteri.

Il problema era dipendente dalla configurazione degli indirizzi ip virtuali presenti sulla lan, avevano assegnata una maschera di rete errata  :o

inoltre … vorrei limitare la banda up/down dei 2 ip pubblici;
però su traffic shaper vedo solo una wan .... quindi il limite vale per i 2 ip pubblici insieme?

Ciao, ho la mini pci-e funzionante, l'ho configurata ed è la opt1. Adesso se configuro la Opt1 come Access Point mi ritorna un errore PS " The following input errors were detected:
Unable to change mode to Access Point. You may already have the maximum number of wireless clones supported in this mode." Che cosa è questo errore?

Ho risolto così:
regola su routeradsl1 con forward port 3389 verso wan1 pfsense. regola su router2 con forward 3389 verso wan2 pfsense.
Regola nat su pfsense interfaccia wan port3389 verso ip lan server
regola nat su interfaccia wan2 port 3389 verso ip lan server
regola nat su interfaccia lan port 3389 verso lan
regola firewall su interfaccia wan con pass su 3389 tramite gateway della wan1
regola firewall su interfaccia wan2 con pass su 3389 tramite gateway wan2

Ad oggi entro perfettamente in rdp con l'ip esterno del routeradsl1, non entro con l'ip esterno del routeradsl2 (mistero…)
Entro utilizzando il dyndns solo se l'aggiornamento viene effettuato puntando all'ip della wan1, diversamente se aggiorna su wan2 non entro con dyndns.

Detto questo, mi può star bene già così (la wan1 fondamentalmente è la principale in ogni caso) ma appena risolvo anche quello posterò :)

Hello Fabio … ben riletto ....

@fabio.vigano:

Vediamo se ho capito,
hai 2 pf sense connessi in vpn tra loro e dalla sede 1 vuoi raggiungere l'interfaccia del router della sede 2.

Hai capito benissimo…

Se è così devi fare diverse cose affinchè i due firewall possano instradare correttamente i pacchetti.

Assicurati che dalla lan della sede 2 vedi l'interfaccia del router

Si , questa è una condizione soddisfatta , dalla Lan della sede2 raggiungo l'interfaccia 192.168.100.1 (GUI del Modem Tooway)

nella sede 1 crea una regola di routing statico dove dici che la sottorete del router la raggiungi tramite la vpn

.... E' qui che casca l'asino !!!!.... mi sfugge dove e come scrivere questa regola ... immagino su RULES > LAN oppure RULES > OPENVPN ?  :'(

nella sede 2 devi creare regole di routing statico per permettere a router e al firewll di conoscere la rotta per rispondere. Specifica quindi che la sottorete della lan del firewall della sede 1 la raggiungi attraverso la il firewall della sede 2 e tramite la vpn

.... come sopra  :-[

ciao Fabio
[/quote]

Saluti e grazie

Ora comunicano, grazie per l'aiuto.

Ciao, credo di no
Fabio

la soluzione che ho adottato io implica:

un alias (Firewall\Aliases) con tutti gli ip interessati, ma sempre da aggiornare

una blacklist su squid (Services\Proxy server\ACLs) in cui inserire i siti interessati (es. facebook.com)

una configurazione adeguata dei filtri di dansguardian (Site e URL Lists) con le varie inclusioni per domini e urls in "include" oppure anche includendo esplicitamente i siti interessati (es. facebook.com) in "Banned\Config" delle stesse maschere

Così io blocco twitter, facebook, youtube, ecc. Ovviamente vanno periodicamente aggiornati gli ip qualora dovessero cambiare.

Ciao