Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Veřejná ip adresa
- - Od Tom Dne 2014-04-24 18:06
Zdravím.
Ani po týdnu nemám nastavenu veřejnou ip adresu. Nastavení v LuCI přes protokol PPTP se mi to nepovedlo. Neví někdo, jak na to?
Nadřazený - - Od hrejsik Dne 2014-05-08 10:05
Já to vyřešil tak, že v pravidlech port forwardu ve firewallu jsem port 80 Turrisu z WAN přesměroval na port 80 Turrisu na LAN a administrace na veřejné IP začala fungovat. Ale asi je i elegantnější řešení?
Nadřazený - - Od Tom Dne 2014-05-08 11:16
Dobrý den, děkuji za radu, ale nefunguje mi to. Přesměrování jsem už zkoušel různá, ale z logu vyplývá, že ověření PPTP proběhne v pořádku, ale spojení se nenaváže a přes PPTP rozhraní v Turrisu nic neprotéká. Už jsem mluvil i s technikem providera, říkal, že po připojení na server to ihned spadne. Pěkný sváteční den.
Nadřazený - Od Tom Dne 2014-05-08 12:26
On je problém s protokolem PPTP, proto jsem k tomu založil ještě jedno vlákno.
Jen pro zajímavost, dnešní log po různých pokusech:
2014-05-08T13:11:31+02:00 info pppd[23692]: Using interface pptp-PPTP
2014-05-08T13:11:31+02:00 notice pppd[23692]: Connect: pptp-PPTP <--> pptp (172.31.1.3)
2014-05-08T13:11:31+02:00 info pppd[23692]: Remote message: Login ok
2014-05-08T13:11:31+02:00 notice pppd[23692]: PAP authentication succeeded
2014-05-08T13:11:31+02:00 err pppd[23692]: MPPE required, but MS-CHAP[v2] auth not performed.
2014-05-08T13:11:31+02:00 notice pppd[23692]: Connection terminated.
2014-05-08T13:11:31+02:00 warning pppd[24686]: read returned zero, peer has closed
2014-05-08T13:11:36+02:00 warning pppd[]: Last message 'read returned zero, ' repeated 1 times, supressed by syslog-ng on turris
2014-05-08T13:11:53+02:00 info pppd[23692]: Terminating on signal 15
2014-05-08T13:11:53+02:00 info pppd[23692]: Exit.
2014-05-08T13:11:53+02:00 notice netifd[]: Interface 'PPTP' is now down
2014-05-08T13:12:01+02:00 info cron[24782]: (root) CMD (nethist_stats.lua)
2014-05-08T13:12:01+02:00 info cron[24781]: (root) CMD (/usr/bin/rainbow_button_sync.sh)
2014-05-08T13:12:01+02:00 info cron[24783]: (root) CMD (/usr/sbin/logrotate -s /tmp/logrotate.state /etc/logrotate.conf)
2014-05-08T13:12:01+02:00 info syslog-ng[14518]: Termination requested via signal, terminating;
2014-05-08T13:12:01+02:00 notice syslog-ng[14518]: syslog-ng shutting down; version='3.0.5'
Nadřazený - - Od miky Dne 2014-05-10 00:54
administrace na veřejné IP na portu 80 není moc dobrý nápad...
Nadřazený - - Od Drx001 Dne 2014-05-10 01:05
Já si potřebné porty otvírám a zavírám na dálku pomocí knockd jen když potřebuju. To mi připadá jako rozumný kompromis mezi bezpečností a použitelností.
Nadřazený - - Od miky Dne 2014-05-10 01:22
mě teda přijde SSL/TLS použitelnější(1), než port knocking (nedovedu si třeba představit, jak bych třeba ťukal z práce) - nejde o ochranu turrisu/luci proti útokům z vnějšku (na to stačí nějaká variace na fail2ban a navíc se z toho dají udělat pěkné statistiky :) ), ale o ochranu proti MitM v samotné administrační komunikaci, která na portu 80 probíhá jaksi implicitně nešifrovaně..

_______
(1) odmysleme si nedávnou aférku s OpenSSL :)
Nadřazený - - Od Drx001 Dne 2014-05-10 01:33
Já píšu něco o portu 80? :wink: Pomocí knocku jde otvírat i 443, nebo cokoli jiného. Z počítače v práci ťukat taky nemůžu, ale mobilní telefon to dneska zvládá bez problémů taky.
Nadřazený - - Od miky Dne 2014-05-10 12:44
Vy ne, ale kolega nad vámi ano a tím začlo tohle podvlákno :)

Jo, mobily umí spoustu věcí, třeba generovat OTP.

Nicméně stojím si za tím, že port knocking je spíš "security by obscurity".
Nadřazený - - Od Drx001 Dne 2014-05-10 15:50
Odmyslet si aférku s OpenSSL je sice pěkné, ale kdo ví, kolik podobných chyb tam ještě může být. Zavřený port je zavřený port a kde nic není, ani smrt nebere. Já to vnímám jako další vrstvu zabezpečení. Proč to někam vystavovat, když to zvenku potřebuju použít jednou za uherský rok. Nic obskurního na tom nevidím.
Nadřazený - - Od miky Dne 2014-05-10 19:55
podobná chybka může být v netfilteru a pak může být jedno, jestli je port zablokovaný(1) nebo ne, ale to už se dostáváme do akademické sféry :)

zůstaňme u toho, že máme rozdílný názor a děkuji za připomenutí, že něco jako port knocking existuje. třeba pro něj najdu nějaké využití

______
(1) zavřený nebude. nebo to opravdu implementujete tak, že se daná služba teprve po zaťukání spustí? pokud ano, pak máte samozřejmně pravdu, že kde nic tu nic.
Nadřazený - Od Drx001 Dne 2014-05-10 20:10
Když bude děravý firewall jako takový, tak už je skoro jedno co je kde jak nastavené, to je fakt. Asi nezbývá než doufat, že alespoň něco funguje jak má. Nebo ustřihnout drát. :grin:
Nadřazený - - Od hrejsik Dne 2014-05-10 07:17
Souhlasím, není. Možná jsem to přehlédl v dokumentaci. Jak tedy prosím jednoduše nastavit, aby webové rozhraní LUCI bylo dostupné zvnějšku výlučně přes https?
Díky za radu :wink:
Nadřazený - - Od miky Dne 2014-05-10 12:46
opkg install luci-ssl ;)

výlučnost už si zařídit jistě dokážete vlastními prostředky :)
Nadřazený - Od hrejsik Dne 2014-05-10 14:27
Díky :lol:
Nadřazený - Od hrejsik Dne 2014-05-10 18:03
Začíná být fórum v tomto stavu poněkud nepřehledné, už řešeno viz https://www.turris.cz/forum/topic_show.pl?tid=195 našel Google :-)
Nadřazený - Od Jan Čermák (>>) Dne 2014-05-12 11:42 Hlasů 1
To nepomůže, viz zde: https://www.turris.cz/forum/topic_show.pl?tid=195

Máme v plánu snad brzy vypustit balíček, který by umožnil provoz Lighttpd přes HTTPS jednoduchým nainstalováním balíčku, schopnější to ale mohou udělat už nyní dle výše odkazovaného postupu.
Nahoru Téma Majitelé routerů / Technická podpora / Veřejná ip adresa

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill