Online bankacılık sorunu

lkandemir

pfsense Transparent proxy server olarak çalışmakta ve 2 adsl hattını "load balance" şeklinde kullanmaktayım. bankacılık sitelerine girdiğimiz zaman (2 farklı bankada da aynısı oldu), site bizi hiçbir işlem yaptırmadan hemen dışarı atıyor ve online bankacılık işlemlerini gerçekleştiremiyoruz. bu sorunu nasıl çözebilirim.
Paylaşımları için tüm forum üyelerine teşekkür ederim.

sgtr

Selam,

Öncelikle bunun için routing kısmında bir grup olusturmalısın (Ör: İsim olarak FailWan1toWan2 girildikten sonra Wan1 için tier 1 seçersiniz Wan2 içim tier 2 seçersiniz) bu gruba daha sonra firewall > rules > LAN sekmesine gelip kural ekleyip bunu en üst tarafta yapmanız daha etkili olacaktır. Kurallar yukarıdan aşağıya doğru ilerler. Sonra type olarak tcp soruce Lan network destination port olarak HTTPS seçip ip/network olarak ya alias kısmında toplarsınız bankaların ip adreslerini ya da any diyebilirsiniz size kalmış bir durum. Sonrasında da aşağıda Gateway kısmına gelip oluşturdugunuz routing grubu (farilWan1toWan2) seçeceksiniz. Bunu yaptıktan sonra LAN networkunuzdeki bütün bilgisayarlar HTTPS olarak bu gateway grup üerinden internete çıkacaklar ve sorunla karşılaşmayacaksınız.

Sevgilerle,
SGTR

hoscakal

arkadaşın load balancing den kastı iki hattı birleştirip hızını arttırıyor

tier 1 tier 2 yaparsa eğer iki hattı aynı anda kullanamaz

öncelikle bu sorun neden oluyor ona değineyim. iki adsl hattını birleştirdiğinizde pfsense dışarı çıkarken iki hattıda sürekli kullanır…
yani sizin dış ip niz iki tanedir. ve sürekli değişir.

tarayıcıya yapıkredi.com.tr yazdığında tek ip ile ulaşırsınız ama login olduğunuzda ip sürekli değiştiği için sizi tanıyamaz ve sistemden atar login olduğunuz ip sabit kalmalı ki sizinle eşleştirme yapsın bazı bankalar bunu yapıyor bazıları yapmıyor yapıkredi yapmayanlardan. ip değişmiş değişmemiş farketmiyor yani

bu sorunu gidermek icin

alias oluşturmanız gereklidir...

örnek

yapikredi.com.tr internet bankacılığına gireceksiniz

internet bankacılığını tıkladığınızda size küçük pencere açar ve

adres şöyle bişi olur https://internetsube.yapikredi.com.tr

siz kullandığınız bankaların listesini çıkaracaksınız ve şöyle bi alias oluşturacaksınız

internetsube.yapikredi.com.tr
sube.bankasya.com.tr
internet.garanti.com.tr (bunlar farazi yazılmıştır)

firewall rules e gelip
lan sekmesinde source kısmına any
destination kısmına bu oluşturduğunuz aliası seçip

gateway olarak

iki adsl hattınızdan birini seçiniz
3 tane çıkacaktır orda

1. adsl
2. adsl
3. birleştirdiğiniz hat

1 veya 2 seçeceksiniz burda eğer birleştirdiğiniz hattı seçerseniz aynı sorun yine devam eder.

bunu yaptığınızda sorununuz ortadan kalkacak ve sadece bu siteler için balance kullanmadan erişeceksiniz

sgtr

@hoscakal:

arkadaşın load balancing den kastı iki hattı birleştirip hızını arttırıyor

tier 1 tier 2 yaparsa eğer iki hattı aynı anda kullanamaz

Söylemiş oldugum yöntemi kullanırsanız sizde wan1 gittiğinde wan2 üzerinden hizmetin devamını sağlarsınız. Routing Group üzerindeki tanımlamalardaki Tietr 1, Tier 2, hangi hattı öncelikle kullanacağını belirtiyorsunuz. Diğer yöntemde (Wan1 ya da Wan2 seçilmesi durumunda) bunu manuel olarak yapmak durumundasınız. Tier yapısını kullanırsanız bunu otomatik olarak yapacaktır. Aradaki farkta bu dur.

Sevgilerle,
SGTR

hoscakal

dostum tier1 tier2 yaptığında

örnek veriyorum

iki tane adsl var

4mb ve 8mb

tier1 yaptığın 4mb
tier2 yaptığın 8mb

ise sürekli öncelik 4mb lik hatta..

ikisini aynı anda kullanmaz ama ikisini de tier1 yapınca 4+8 şeklinde çalışıyor ama dediğim gibi sürekli iki ip yi kullanıyor
ve forum bankacılık gibi login işlemlerinde ip gözetimi yapan sitelerde sorun çıkıyor..

söylediğinde yanlış bir şey yok öyle yaparsa arkadaş dediğin gibi sorunsuz çalıştırır ama 8+4 şeklinde kullanamaz

Liderweb

Konuyu hortlatmak gibi olacak ama bu mesaj benimde işime yaradı. Multiwan isimli grup oluşturup iki hattıda Tiet1 yaptım. Bankacılık işlemi için ise Firawall rule de Lan sekmesinde 2. sıraya yeni kural ekledim. HTTPS siteleri yeni grup oluşturmak yada ek birşey yapmak yerine direk Wan1 e atadım. Şuan sorunsuz gözküyor.

sgtr

Selam,

En sağlıklısı diğer türlü https siteleri tek tek toplamanız gerekiyor.

Sevgilerle,
SGTR

sertdisk

Konuyu hortlatmış olacağım ama hortlatayım. Gayet faydalı bir konu.

Anladığım kadarı ile her iki çözümde de belirli siteler için hat teke indiriliyor. Bunun yanında @hoscakal ın çözümünde belirlenen hat tek başına çalışırken @SGTR nin çözümünde her iki wan yedekli olarak çalışıp anladığım kadarı ile, birincisi çalışmadığında ikincisi devreye girecek.

Benim için ise, buradaki her iki çözümde işime yarayacak.
@SGTR; yöntemin ile göre tüm https siteler için bir kural ekleyeceğim üstte. Bunun üzerine ise @hoscakal ın anlattığı gibi bir kural daha ekleyip. Şu andaki sabit ip adresimden başka giriş yapamadığım 1 siteyi ekleyeceğim.
Her iki değerli insana, bu değerli bilgilerini paylaştıkları için teşekkür ederim.

https bağlantılar için yaptığım rules ayarlarını alta ekliyorum. Doğruluğunu kontrol edebilir misiniz?

hoscakal

ayarlarınız doğru bu şekilde sorunsuz kullanabilirsiniz.

evet ikisi de geçerli bir çözüm

sgtr'nin önerisi tüm hattınız için geçerli yani tüm hattınız 1 wan ı kullanacak o 1 wan a bir şey olması durumunda 2. wan devreye girecek.

benim önerimde sadece belirttiğiniz siteler için her hangi bir wan'ı kullanabilirsiniz. belirttiğiniz siteler haricinde multiwan ı kullanmaya devam edebileceksiniz.

ikisi de sonuç olarak ip kontrolü yapan sitelere girişlerdeki sıkıntınızı ortadan kaldırır. geresi tercih meselesi

sertdisk

@hoscakal;
Şu an bende 4 kural tanımlı. en üstte sizin belirttiğiniz yöntem ile sabit ip adresimden gayri giriş yapamadığım siteler ve ilerde https protokolü kullanmadığı halde multi wan ile sorun yaşayabiileceğim siteleri eklemek için 1 kural.
Hemen altında https sitelerin tamamını tek hat kullanması için @SGTR nin yöntemi ile yedekli olarak tek hat kullandıran kural.
Bunun altında video trafiğinini limitleyen 3. kural
En altta ise her iki hattımı kullanmak için multiwan kuralı yer alıyor.

Sabit ip isteyen siteler için sayenizde şimdi iki opsiyonlu bir çözüme sahibim. Her ikinizede minnettarım.

pandemi

Merhaba arkadaşlar
Elinizde hazır alies hazır bir kaç ip si olan burada paylaşa bilirmi malum tek ip kullanan sitelerin hepsini bilmemiz mümkün değil bu yüzden enlin de tek ip kullanan siteler varsa yada ip adresleri burada paylaşırsa hepimiz bundan faydalanırız

tuzsuzdeli

Https trafiğini ayırmak gayet pratik bir çözüm.
Dolayısıyla alias listesi yapmanın bir avantajı yok aslında

pandemi

@tuzsuzdeli:

Https trafiğini ayırmak gayet pratik bir çözüm.
Dolayısıyla alias listesi yapmanın bir avantajı yok aslında

Multiwan kullanıyorum bütün trafiğim özellikle http trafiği çok yoğun olduğu için multiwan kullanıyorum bunu nasıl yapacağız o zaman bir hatta yönlen dirirsem çok yoğunlaşacak hat

Liderweb

@pandemi:

@tuzsuzdeli:

Https trafiğini ayırmak gayet pratik bir çözüm.
Dolayısıyla alias listesi yapmanın bir avantajı yok aslında

Multiwan kullanıyorum bütün trafiğim özellikle http trafiği çok yoğun olduğu için multiwan kullanıyorum bunu nasıl yapacağız o zaman bir hatta yönlen dirirsem çok yoğunlaşacak hat

Alias ile hiç uğraşmadan benim yaptığımı yap. İlk önce System Routings -> Group dan yeni bir grup oluştur. Ben SSL verdim grup ismini. Wan1 i T1 Wan2 yi T2 olarak seçtim. Sonra Firewal Rules-> Lan a gel. En süteki default kuralın altına yeni kural ekle.

Action - > PASS
İnterface -> LAN
Protocol -> TCP
Source -> Lan Subnet
Destination -> any
Destination port range -> HTTPS
Gateway -> Oluşturduğum SSL isimli gateway

Upload/Downlod ve Layer7 kısıtlamalarıda var bende sen ister eklersin ister eklemesin. Benim ekleme nedenim Facebook da https üzerinden çalışıyor. Facebookdada limitlemelerim geçerli olsun diye. Sorunsuzca kullanıyorum. Kurcalarken çok güzel şeyler çıkıyor bu pfsensede. Çift hat nedeni ile outlook ile pop3 maillerime ulaşamıyordum, web sitelerimin panellerine giremiyordum IP değişince farklı ipten girdiniz diye paket yapıyordu sunucular. Bu sorunlar içinde ıutlookun, kontrol panellerinin kullandıkları portuda burada yaptığım aynı şekilde Wan2 ye atadım bu kezde. Tık sorun vermiyor artık. Bazı siteler vardı üyelik girişinde sorun veren siteler vardı. nesine.com misli.com forum siteleri gibi onlarıda forumdaki üstatların yardımı ile aliass ile ayarladım. Dediğim gibi bankacılık işlemleri için https leri rules ile halletmek çok daha kolay. Alias ile tüm siteleri bulman gerekecek.

pandemi

@Liderweb:

@pandemi:

@tuzsuzdeli:

Https trafiğini ayırmak gayet pratik bir çözüm.
Dolayısıyla alias listesi yapmanın bir avantajı yok aslında

Multiwan kullanıyorum bütün trafiğim özellikle http trafiği çok yoğun olduğu için multiwan kullanıyorum bunu nasıl yapacağız o zaman bir hatta yönlen dirirsem çok yoğunlaşacak hat

Alias ile hiç uğraşmadan benim yaptığımı yap. İlk önce System Routings -> Group dan yeni bir grup oluştur. Ben SSL verdim grup ismini. Wan1 i T1 Wan2 yi T2 olarak seçtim. Sonra Firewal Rules-> Lan a gel. En süteki default kuralın altına yeni kural ekle.

Action - > PASS
İnterface -> LAN
Protocol -> TCP
Source -> Lan Subnet
Destination -> any
Destination port range -> HTTPS
Gateway -> Oluşturduğum SSL isimli gateway

Upload/Downlod ve Layer7 kısıtlamalarıda var bende sen ister eklersin ister eklemesin. Benim ekleme nedenim Facebook da https üzerinden çalışıyor. Facebookdada limitlemelerim geçerli olsun diye. Sorunsuzca kullanıyorum. Kurcalarken çok güzel şeyler çıkıyor bu pfsensede. Çift hat nedeni ile outlook ile pop3 maillerime ulaşamıyordum, web sitelerimin panellerine giremiyordum IP değişince farklı ipten girdiniz diye paket yapıyordu sunucular. Bu sorunlar içinde ıutlookun, kontrol panellerinin kullandıkları portuda burada yaptığım aynı şekilde Wan2 ye atadım bu kezde. Tık sorun vermiyor artık. Bazı siteler vardı üyelik girişinde sorun veren siteler vardı. nesine.com misli.com forum siteleri gibi onlarıda forumdaki üstatların yardımı ile aliass ile ayarladım. Dediğim gibi bankacılık işlemleri için https leri rules ile halletmek çok daha kolay. Alias ile tüm siteleri bulman gerekecek.

Valla teşekkür ederim işe yarıyor mu hemen bakalım

sertdisk

@pandemi:

Multiwan kullanıyorum bütün trafiğim özellikle http trafiği çok yoğun olduğu için multiwan kullanıyorum bunu nasıl yapacağız o zaman bir hatta yönlen dirirsem çok yoğunlaşacak hat

işin mantığı zaten multiwan çıkışı nedeniyle sorun yaşadığınız siteleri tek wan kullandırmak olduğundan her halükarda trafiğinizin büyük çoğunluğu bu sitelerden oluşuyorsa multiwan ın nimetlerinden az faydalanıyor olabileceksiniz.

Benim önerim
Sık kullanılan ve multiwan kullanımında sıkıntı yaşadığını tesbit ettiğiniz siteleri listeleyen bir alias oluşturun. Rules in en üstünde bir kural ekleyin ve wan bacağını "wan1" yapın. (2 wan çıkışı olduğunu varsayıyorum.)

ikinci olarak ise; ilk kuralın altına ise 1. kuraldan geriye kalan tüm https trafiğinizi  "wan2" üzerine yönlendirecek kuralı oluşturun.

Bu sayede sizin listenizde olan siteler "wan1" i geri kalan tüm https trafik ise "wan2" den gerçekleşecektir.

yine herhangi bir wan hizmetinizin durması ihtimaline karşılık bu iki wan ı birbirinin yedeği olacak ama her ikiside çalışır durumda olduğunda sadece bir tanesi kullanılacak şekilde guruplar oluşturabilirsiniz.

Şöyleki;
Grup oluşturuken "wan1" için "tier1", "wan 2" için "tier2" verip bir "wan1olmassawan2" isimli gurup oluşturduğunuzda. wan 1 çalışır durumda olduğunda bu grubun seçili olduğu rollerde "wan1" çalışır. "wan1" in hizmeti sekmeye uğradığı anlarda "wan2" devreye girer.

Bu şekilde "wan1olmassawan2" ve "wan2olmassawan1" gibi guruplar oluşturarak, rules de "wan1" ve "wan2" yerine bunları seçerseniz, her iki wan tek başına ancak birinin hizmeti sekmeye uğradığında diğeri hizmete girecek şekilde yapılandırmış olursunuz.

–----------------
Tecrübelerim kısıtlı olduğundan verdiğim bilgiler hatalı olabilir. Test ederek sonucunu gözlemleyiniz. Yine tecrübeli arkadaşlardan hatalarımı görenler lütfen düzeltsinler.

tuzsuzdeli

Https trafiği genelde çok yoğun olmaz. Genel kullanımda tüm https trafiğini tek wan'a yönlendirmek (failover olarak) pratik bir çözüm.
Ama https çok yoğun kullanıyorsanız,
Kullancılarınızın yarısının https trafiğini bir hattan, diğer yarısını da diğer hattan geçirecek şekilde 2 kural yazarsınız.

Liderweb

https yi alias ile yönlendirmeye çalışmak ölüm olur artık. SSL ücretlerinin 5$ a indiği günümüzde artık nerede ise her site ssl alıyor. Bunları tek tek bulamayacağımız göre Rules ile https yönlendirmek en mantıklı ve kolayı olacaktır.

hoscakal

olay https olayı değil ki arkadaşlar

başlık  online bankacılık olabilir

forum siteleri de var login oluyorsun başka bir yere tıkladığında ip değiştiği için logout durumuna düşüyorsun

temel sorun login girişli sitelerde ip kontrolünün yapılması başlı başına ssl olayı değil

ssl kullanmayan ama login girişinde ip kontrolü yapan bir sürü yer var

2 hattınız var ssl trafiğini tek hat üzerinden yönlendirdiniz.

ssl trafiği olmayanlar dual wan kullanmaya devam edecekler..

peki ip kontrolü yapan ssl kullanmayan siteler için çözümünüz nedir ?

evet alias olayı biraz sıkıcı bende şimdilik alias kullanıyorum ve 25 taneyi geçmiş durumda değil

bu bahsedilen yöntem geçerli olursa bende kurtulmak isterim aliastan

tuzsuzdeli

https için faha önce yazılanlar geçerli.
forum ve benzeri siteler için, bunları tespit edip mecbur alias yapacaksınız.