Gå til innhold

Fins det en grei open source brannmurdistro med IKEV2-klient?


Anbefalte innlegg

Jeg har en egen VM som kjører en spesiell applikasjon med NordVPN (av privacyårsaker vi ikke skal gå inn på her). Jeg bruker Windows' vanlige VPN-tilkobling med IKEV2 fordi den er raskere enn programmet til NordVPN, som bruker OpenVPN. Men problemet er at noen ganger kobler VPN-en seg ned og får ikke kontakt igjen med en gang, og da er jo denne VM-en synlig på vanlig nett. I tillegg trenger jeg en opplastingsbregrensning, det er DSL-linje med bare 10 opp, og folk i huset har en tendens til å bli småsure hvis applikasjonen min drar all opplastingshastigheten, fordi det gjør surfing så usigelig treig.

 

Fins det en open source brannmurdistro som kan gjøre det jeg trenger?

Lenke til kommentar
Videoannonse
Annonse

Det var tydeligvis ikke noe enkelt spørsmål, nei. Så jeg brukte en mer eller mindre snedig omvei: Jeg satte opp en VM med en minimal Windows 7-installasjon, satte opp en VPN-kobling med IKEV2 på den og delte den tilkoblingen. Så satte jeg ut fra den til virtuelt nettverk på en ubrukt nettverksport, og satte den samme nettverksporten som virtuelt nettverk inn til maskinen som ikke skal være tilgjengelig fra nettet uten at VPN-tilkoblingen er oppe. Funket som ei kule.

Lenke til kommentar

Smoothwall støtter ikke klient, som jeg spør om. Den kan vel fungere som server, men ikke klient, iallfall ikke ut fra det jeg har funnet ut.

 

pfSense er faktisk mulig at gjør det. https://forum.pfsense.org/index.php?topic=139327.0 Sitat: "You can use IKEv2 for site-to-site but not for the firewall to act like a mobile client." Jeg er litt usikker på om det betyr ja eller nei til mitt bru, men det er verd å installere den og sjekke.

  • Liker 1
Lenke til kommentar

Nope, pfSense funket ikke. Jeg kontaktet til slutt NordVPN (som jeg burde gjort til å begynne med), og de sa at så langt var det ingen av open source eller lignende brannmurer som funket med det de hadde. Det var visst én bruker som hadde fått det til med en maskinvarebrannmur, men det var noen dyre greier som ikke jeg gidder å rote med. Men pfSense var ellers grei, så jeg tror jeg bytter ut min nå smått foreldede M0n0wall med den. Så da blir det vel tredelt løsning: pfSense VM som kjører QoS for å strupe opphastigheten, en barebones Windows 7 VM som er satt opp til å dele internett med VPN-tunnelen som nettverksenhet (dermed kan den ikke dele nett uten VPN) og så den VM-en der jeg kjører selve applikasjonen. Kjipt, men sånn går det.

Lenke til kommentar

... en barebones Windows 7 VM som er satt opp til å dele internett med VPN-tunnelen som nettverksenhet...

Jaha? Windows 7 bare for en VPN-tunnel høres litt ut som waste av ressurser.

 

Hva med denne greia her: http://roscidus.com/blog/blog/2016/01/01/a-unikernel-firewall-for-qubesos/

 

Altså Mirage OS.

 

Vet ikke hvor mye mas det blir, eller om det kan dekke dine behov, men det er nå bare et forslag til vurdering.

  • Liker 1
Lenke til kommentar

Hvis den hadde funket (og vært ikke helt umulig å sette opp, så det gikk på en kveld) med VPN for meg, så ville det selvsagt vært interessant. Men det eneste jeg fant på Mirage og IKEv2 var dette sitatet:

 

 

even a beginning of an IKEv2 implementation

https://mirage.io/blog/2016-spring-hackathon

 

Er det min google-fu som er litt ute av lage (omtrent som når krigeren blir til mr. Bean i Snickers-reklamen), eller hva? Det ville være veldig fint om du kunne peke meg til et sted der det står noe om IKEv2 og Mirage OS. Jeg er fullstendig OS-agnostiker, jeg bruker det som funker til formålet. Enten det er FreeBSD, Linux, Windows Server, Windows 2000, XP, 7, 10 (8 og 8.1 bruker jeg IKKE, det er bare fordi de er noe ræl), så har de alle sine bruksområder i sjappa. :)

 

Edit: Jeg kommer nok til å nedskalere til en Windows 2000-installasjon for ICS og IKEv2 etter hvert, hvis ikke du kan hjelpe meg gjennom denne Mirage-greia. 2000 tar jo minimalt med plass og ressurser i forhold til Windows 7.

Endret av Pallantir
Lenke til kommentar

Hvis den hadde funket (og vært ikke helt umulig å sette opp, så det gikk på en kveld) med VPN for meg, så ville det selvsagt vært interessant. Men det eneste jeg fant på Mirage og IKEv2 var dette sitatet:

... 

Det ville være veldig fint om du kunne peke meg til et sted der det står noe om IKEv2 og Mirage OS. Jeg er fullstendig OS-agnostiker, jeg bruker det som funker til formålet.

Vel, nei sorry mac, jeg veit da ikk.

 

Mirage-gutta pleier å se på seg selv som kongen på haugen av nettverks-os, så jeg bare trodde de hadde kommet så langt allerede.

Et siste alternativ kan jo være å bare laste ned git-repo'en deres og søke igjennom og se om du finner noe som snakker om å kompilere inn ikke-v (eller hva søren det var igjen).

 

Jeg kan ikke alt og godt er det. Da hadde jeg risikert å blitt direkte ufyselig hele tiden, nå er jeg bare noe nedrig, deler av tiden.

 

Uansett, velg det som tar minst tid for deg, jeg støtter den. Maks latskap og til helvetet med å danse på den blødende knivseggen av beta-utviklings-mikk-makk som en prøvekanin som forsøker seg på salsa.

Endret av VegaPet
Lenke til kommentar

Som du selv ser ut til å ha kommet frem til å så kan vel dette gjøres på de fleste distroer, og om du bruker en minimal serverinstall av Debian, Ubuntu, Arch, Alpine eller noen andre så skal det være mulig å få til med en kombinasjon av Systemd, Strongswan og Iptables. Sleng med f.eks FireQOS over tc så dekker du det også (når sant skal sies kan det se ut som hele FireHOL-prosjektet kan være interessant for dette bruksområdet!). Dette vil uten tvil vil gi deg en mer effektiv løsning rent ressursmessig enn 2 VM-er og en full installasjon av Windows 7, men om du ikke kan noe av disse verktøyene fra før og ikke finner en god guide som gjør mer eller mindre akkurat det du vil så vil du nok måtte bruke en stund på å få det til ordentlig.

 

Så om du ikke føler det er noe å hente på lærdommen fra å hoppe ut i dette så har jeg forståelse for at du går for en løsning som "bare funker". Jeg ville dog tenkt meg om både fire og fem ganger før jeg brukte Windows 2000 til noe som helst(!).

  • Liker 1
Lenke til kommentar

 

Jeg ville dog tenkt meg om både fire og fem ganger før jeg brukte Windows 2000 til noe som helst(!).

Windows er som Lada: "Har du først vendt deg til å bruke den, så er både du og bilen så billige at dere er uadskillelige"

 

Tja, i dette tilfellet vil jeg heller si at å bruke et OS som ikke har fått sikkerhetsoppdateringer på 8 år på noe som er koblet til nettet er som å bruke fiskegarn som dusjforheng: "Det er kanskje ikke så tungt, men gud som du må rydde etterpå" ;) 

  • Liker 1
Lenke til kommentar

Tja, i dette tilfellet vil jeg heller si at å bruke et OS som ikke har fått sikkerhetsoppdateringer på 8 år på noe som er koblet til nettet er som å bruke fiskegarn som dusjforheng: "Det er kanskje ikke så tungt, men gud som du må rydde etterpå" ;)

Jeg er til opplysning sikkerhets-oppdaterings-ignostiker: Jeg tror ikke på at "sikkerhets"-"oppdateringer" på noen måte hjelper dem som faktisk trenger dem.

 

Derfor kjører jeg også flat pedal på datasikkerhet, som jeg kommer til å legge ut om i arbeidsloggen.

Lenke til kommentar

Vel, jeg hadde liggende en VM med XP, men jeg får det ikke til. Og som nevnt skal den maskinen bare være til å dele VPN-koblingen med den maskinen som faktisk skal bruke den, så det blir en ren tunnell. Og for å være litt flåsete, kan man jo si at det som er bra nok for halve det offentlige Norge burde være bra nok for meg! ;) Men jeg har jo selvsagt tenkt å kjøre en brannmur på pc-en så den ikke er altfor lett å hacke. Og å komme videre fra denne til noe som ligger bak den er umulig. Man kan ikke så vidt jeg vet hacke seg fra en VM til hosten når alle de vanlige forhodlsreglene (ingen delte mapper, annet nettverk osv) er tatt.

 

Men hvis noen vet hvordan man får XP til å funke med IKEv2, så si fra! Ifølge NVPN (en annen leverandør enn den jeg bruker):

 

All versions of Windows since 2000/XP and Mac OSX 10.3+ have built in support for IKEv2 (yes, even Windows 10)

Lenke til kommentar

Man kan ikke så vidt jeg vet hacke seg fra en VM til hosten når alle de vanlige forhodlsreglene (ingen delte mapper, annet nettverk osv) er tatt.

Vel... du har forholdsvis rett.

Men hvilken virtualiseringsløsning bruker du? Fordi, det er faktisk en nevneverdig forskjell mellom Xen Hypervisor og "diverse andre".

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
×
×
  • Opprett ny...