Veřejná ip adresa

Dne 2014-05-08 10:05

Já to vyřešil tak, že v pravidlech port forwardu ve firewallu jsem port 80 Turrisu z WAN přesměroval na port 80 Turrisu na LAN a administrace na veřejné IP začala fungovat. Ale asi je i elegantnější řešení?

Od Tom

Dne 2014-05-08 11:16

Dobrý den, děkuji za radu, ale nefunguje mi to. Přesměrování jsem už zkoušel různá, ale z logu vyplývá, že ověření PPTP proběhne v pořádku, ale spojení se nenaváže a přes PPTP rozhraní v Turrisu nic neprotéká. Už jsem mluvil i s technikem providera, říkal, že po připojení na server to ihned spadne. Pěkný sváteční den.

Od Tom

Dne 2014-05-08 12:26

On je problém s protokolem PPTP, proto jsem k tomu založil ještě jedno vlákno.
Jen pro zajímavost, dnešní log po různých pokusech:
2014-05-08T13:11:31+02:00 info pppd[23692]: Using interface pptp-PPTP
2014-05-08T13:11:31+02:00 notice pppd[23692]: Connect: pptp-PPTP <--> pptp (172.31.1.3)
2014-05-08T13:11:31+02:00 info pppd[23692]: Remote message: Login ok
2014-05-08T13:11:31+02:00 notice pppd[23692]: PAP authentication succeeded
2014-05-08T13:11:31+02:00 err pppd[23692]: MPPE required, but MS-CHAP[v2] auth not performed.
2014-05-08T13:11:31+02:00 notice pppd[23692]: Connection terminated.
2014-05-08T13:11:31+02:00 warning pppd[24686]: read returned zero, peer has closed
2014-05-08T13:11:36+02:00 warning pppd[]: Last message 'read returned zero, ' repeated 1 times, supressed by syslog-ng on turris
2014-05-08T13:11:53+02:00 info pppd[23692]: Terminating on signal 15
2014-05-08T13:11:53+02:00 info pppd[23692]: Exit.
2014-05-08T13:11:53+02:00 notice netifd[]: Interface 'PPTP' is now down
2014-05-08T13:12:01+02:00 info cron[24782]: (root) CMD (nethist_stats.lua)
2014-05-08T13:12:01+02:00 info cron[24781]: (root) CMD (/usr/bin/rainbow_button_sync.sh)
2014-05-08T13:12:01+02:00 info cron[24783]: (root) CMD (/usr/sbin/logrotate -s /tmp/logrotate.state /etc/logrotate.conf)
2014-05-08T13:12:01+02:00 info syslog-ng[14518]: Termination requested via signal, terminating;
2014-05-08T13:12:01+02:00 notice syslog-ng[14518]: syslog-ng shutting down; version='3.0.5'

Od miky

Dne 2014-05-10 00:54

administrace na veřejné IP na portu 80 není moc dobrý nápad...

Od Drx001

Dne 2014-05-10 01:05

Já si potřebné porty otvírám a zavírám na dálku pomocí knockd jen když potřebuju. To mi připadá jako rozumný kompromis mezi bezpečností a použitelností.

Od miky

Dne 2014-05-10 01:22

mě teda přijde SSL/TLS použitelnější(1), než port knocking (nedovedu si třeba představit, jak bych třeba ťukal z práce) - nejde o ochranu turrisu/luci proti útokům z vnějšku (na to stačí nějaká variace na fail2ban a navíc se z toho dají udělat pěkné statistiky :) ), ale o ochranu proti MitM v samotné administrační komunikaci, která na portu 80 probíhá jaksi implicitně nešifrovaně..

_______
(1) odmysleme si nedávnou aférku s OpenSSL :)

Od Drx001

Dne 2014-05-10 01:33

Já píšu něco o portu 80? :wink:

Pomocí knocku jde otvírat i 443, nebo cokoli jiného. Z počítače v práci ťukat taky nemůžu, ale mobilní telefon to dneska zvládá bez problémů taky.

Od miky

Dne 2014-05-10 12:44

Vy ne, ale kolega nad vámi ano a tím začlo tohle podvlákno :)

Jo, mobily umí spoustu věcí, třeba generovat OTP.

Nicméně stojím si za tím, že port knocking je spíš "security by obscurity".

Od Drx001

Dne 2014-05-10 15:50

Odmyslet si aférku s OpenSSL je sice pěkné, ale kdo ví, kolik podobných chyb tam ještě může být. Zavřený port je zavřený port a kde nic není, ani smrt nebere. Já to vnímám jako další vrstvu zabezpečení. Proč to někam vystavovat, když to zvenku potřebuju použít jednou za uherský rok. Nic obskurního na tom nevidím.

Od miky

Dne 2014-05-10 19:55

podobná chybka může být v netfilteru a pak může být jedno, jestli je port zablokovaný(1) nebo ne, ale to už se dostáváme do akademické sféry :)

zůstaňme u toho, že máme rozdílný názor a děkuji za připomenutí, že něco jako port knocking existuje. třeba pro něj najdu nějaké využití

______
(1) zavřený nebude. nebo to opravdu implementujete tak, že se daná služba teprve po zaťukání spustí? pokud ano, pak máte samozřejmně pravdu, že kde nic tu nic.

Od Drx001

Dne 2014-05-10 20:10

Když bude děravý firewall jako takový, tak už je skoro jedno co je kde jak nastavené, to je fakt. Asi nezbývá než doufat, že alespoň něco funguje jak má. Nebo ustřihnout drát. :grin:

Od hrejsik

Dne 2014-05-10 07:17

Souhlasím, není. Možná jsem to přehlédl v dokumentaci. Jak tedy prosím jednoduše nastavit, aby webové rozhraní LUCI bylo dostupné zvnějšku výlučně přes https?
Díky za radu :wink:

Od miky

Dne 2014-05-10 12:46

opkg install luci-ssl ;)

výlučnost už si zařídit jistě dokážete vlastními prostředky :)

Od hrejsik

Dne 2014-05-10 14:27

Díky

Od hrejsik

Dne 2014-05-10 18:03

Začíná být fórum v tomto stavu poněkud nepřehledné, už řešeno viz https://www.turris.cz/forum/topic_show.pl?tid=195 našel Google :-)

Od Jan Čermák (>>)

Dne 2014-05-12 11:42 Hlasů 1

To nepomůže, viz zde: https://www.turris.cz/forum/topic_show.pl?tid=195

Máme v plánu snad brzy vypustit balíček, který by umožnil provoz Lighttpd přes HTTPS jednoduchým nainstalováním balíčku, schopnější to ale mohou udělat už nyní dle výše odkazovaného postupu.