Hi, ist ja echt entmutigend das es so schwer ist einen Tunnel zu graben.
Habs mit einem Windows10 PC versucht auf den VPN-Server der Endian zu gelangen.
Der Windows PC fragt bei dem Versuch der VPN Verbindung nach Name und Paßwort welches ich richtig und identisch zum einzigen lokalen Benutzer der Endian eingebe.
Etwas dananch schreibt W10 das die Verbindung auf Grund von Tunnelfehlern nicht hergestellt wird.
Schwierige Baustelle.
Habe testweise auf Gerätetyp TAP umgestellt.( Endian VPN Server und AndroidAPP).
Jetzt meckert die APP: server certification failed.
Nun, ist zwar logisch weil das frisch erzeugte Zertifikat auch keiner Zertifizierungsstelle angeboten wurde.
Braucht man ein Zertifikat ? Und muß das fremdzertifiziert sein ?
Hallo,
ich habe nach deiner Vorlage die .ovpn Profildatei für OpenVPN Connect gebastelt.
Habe sie ins Smartphone importiert und diese wird auch genommen.
Ist es zwingend nötig ein Zertifikat zu verwenden?
Falls ja : Die Endian erzeugt Zertifikate mit der Endung .pem
Davon will aber OpenVPN Connct nichts wissen.
Was trage ich genau in Zeile 10 der .ovpn Datei wegen dem Zertifikat ein ?
Stand jetzt ist es so das die Android App sofort nach dem Connectversuch folgende Fehlermeldung generiert:
Problem creating TAP tunnel
Sorry, but the AndroidVPN API doesn`t currently support TAP-based tunnels.
Was ist falsch ?
Ich bekomm`s einfach nicht gebacken. Sonst geht autodidaktisch so viel - aber hier komme ich nicht weiter.
Ich möchte doch nur von unterwegs mit meinem Android Handy (S4) via VPN in das heimische Lan verbinden, so als wäre ich zu Haus im W-Lan eingeloggt.
Endian 3.22. VPN Server aktiviert. Mache ich von außen einen Porttest 1194 auf meiner IP so wird leider geschlossen gemeldet. Öffne ich dagegen in der Firewall den FTP-Port wird beim gleichen Test richtigerweise auch Port 21 als offen gemeldet. Also klappts soweit schon mal mit dem grundsätzlichen Zugang.
Auf dem Handy probierte ich schon allerlei VPN Apps aus - keine brachte Verbindung. Ja ich fürchte keine kam überhaupt zum laufen.
Wenn ich auf dem Handy Open VPN Connect Android benutzen will heißt es, es fehlt das Profil. Dieses gäbe es als *.ovpn Datei vom VPN Server. Nur wo generiert der Endian VPN Server dieses?
Als Zugang zum Server reicht mir PSK - einen Benutzer habe ich in der Endian angelegt. Mit Zertifikat wird es ja noch schwieriger für mich.
Ich weiß ja nicht mal wann der Endian Open VPN Server richtig läuft.
Was muß ich alles anders machen ?
[Blockierte Grafik: http://666kb.com/i/djm782wpwjc7k7oay.jpg]
Ich kenne auch keinen anderen Weg - handhabe das auch so ähnlich wie du.
Lediglich benutze ich dazu nicht die mir zu leicht zu änderden Endgeräte IP`s sondern die MAC Adressen der Endgeräte.
Aber ablaufmäßig ist das ja kein Unterschied.
Und wenn jemand an deinen Rechnern trotzdem raus will kann er ja einen externen Proxy im Browser eintragen. Dann müßte doch der transparente Proxy umgangen werden - oder?
Durchsatz:
Nach Umstellung konnte jetzt mit 400 + 100MBit/s testen.
Hut ab - Endian. Ist ja richtig flott geworden.
Jedenfalls laufen die 500MBit/s durch wie ein heißes Messer durch Butter.
[Blockierte Grafik: http://666kb.com/i/df61mvao6q6itn536.jpg]
Hallo,
jepp - Ntop ist selbst in der Community Version standardmäßig enthalten. Und macht sogar einen guten Eindruck.
[Blockierte Grafik: http://666kb.com/i/deapijosru1ru7mbv.jpg]
[Blockierte Grafik: http://666kb.com/i/deaphngertcszfqh7.jpg]
@ Sabine
Ja ja - die V5.0. Ist bestimmt am Anfang Fluch und Segen zugleich. Will alles besser machen - das Marketing gibt dann noch sein Wunschdenken zum Besten, und schon wollen es (fast) alle haben.
Vermutlich wird die Version erst ab V5.4 gutmütiger, stabil und berechenbarer. Man lernt ja auch aus der Vergangenheit wie die Vorgängerversionen reiften.
Gerade weil es tief ins Eingemachte (EndianOS) gehen wird. Da werden sich noch nie dagewesene Fehler zeigen. Das wird ein Fest... 
Die Ankündigung des großen Geschwindigkeitsschub ab V5.0 ist ein echtes Nimmmichkriterium. Jetzt natürlich nicht bei irgendwelchen langweiligen uralten 16MBit Mitleidsschulanschlüssen. Aber so ab 400MBit wird auf dem Tisch getanzt.
Und das wird auch nötig sein denn so wie ich das sehe nimmt die V3.2.2 beim IPS immer noch nur einen CPU-Kern.
Und wenn die zappelige CPU Auslastungsanzeige auch nur annähernd stimmen sollte - so las ich einen Höchstwert von 67% Auslastung bei 310MBit/s ab.
Da dürfte nicht mehr viel gehen.
Hallo Frank,
vielen Dank für Deine Mühe. Jetzt kann ich mir meine Wunschfarben einstellen. Es geht ja doch...
Bei der V3.2.2 ist allerdings der Pfad etwas moderner:
/usr/lib/python2.7/site-packages/endian/dashboard/web/static/js/networkinformationplugin.js
[Blockierte Grafik: http://666kb.com/i/de4ijkb5d7vca4wcr.jpg]
Lange hatte ich die Modernisierung meiner Communityendian V2.5.1 aufgeschoben da mir die bisherigen Versionen zu viel Ärger machten.
Jetzt zog ich es durch - die V3.2.2 schien mir die Arbeit wert zu sein. Zumal die 2.5.1 seit 2 Jahren auch kein Snortupdate mehr erhielt.
Datenübernahme machte ich händisch - das heißt 2 Endians an einem PC und Einstellungen Zeile für Zeile rüberkopiert.
Resultat gleich mal vorneweg: die 3.2.2 läuft auch gut, einiges ist aber trotz gleichem Aussehen anders.
Das Beste aber: Erweiterte Treiberunterstützung und 64Bit Software - dazu deutlich schneller geworden.
Bisher verwaiste die LAN on Board Ethernet bei mir da Endian den neuen Realthek Chip nicht kannte. Wie erfreulich - seit der 3.2.2 funktioniert diese Schnittstelle und eine Zusatzkarte konnte rausfliegen. Ich spendierte 16Gbyte Ram (bisher 4GB) das auch voll erkannt wird. (Hatte gerade keine kleineren Riegel da.)
Aber das wichtigste ist der mögliche Durchsatz:
Vorgeschichte: die 2.5.1 bekam ich nur durch System-Snorttuning dazu gerade mal so ca. 310Mbit/s durchzulassen. Zwei Interntzugänge: 100MBit/s und 210MBit/s sind zur Zeit vorhanden. (400MBit in Planung)
Dagegen ist es mit der 3.2.2 ein leichtes vollen Durchsatz zu erzielen. Und das ganz von alleine.
Die CPU Belastung ist dabei gering - noch dazu zeigen alle 4 CPU-Kerne (Intel I5 4GHz) abwechselnd irgendetwas niedriges an - bremsend sieht anders aus. Da ist noch Luft nach oben.
[Blockierte Grafik: http://666kb.com/i/de3g8ii6dbmy8wlvv.jpg]
Vorversuch mit 3.2.2 lief auf Intel Dualcore mit 3,1GHz und 4GB Ram: Durchsatz hier bereits bremsend bei 240MBit/s.
Ich weiß nicht warum der Durchsatz auf dem 4-Kerner jetzt so anstieg - obs an dem vielen RAM liegt oder den 64Bit - na Hauptsache es rennt.
Bei den Durchsatztests war Snort mit allen standardmäßigen Filtern aktiviert - der Proxy war ein, wurde aber umgangen.
Änderungen vielen mir auf:
Betrieb mit transparenten Proxy auf 8080: Bei der alten Version umging ich zwar mit meinen PC den Proxy - konnte aber mit dem direkten Proxyeintrag im Browser oder Downloader durch den Proxy laden und surfen und hatte dadurch zwei Internet IP`s zu Verfügung. Das war praktisch. Bei der 3.2.2 klappt das nicht mehr. Hier ist bei umgangenen Proxy (via MAC) kein Proxyeintrag auf 8080 mehr wirksam.
Als Workaround schloß ich an meinen PC eine weitere Netzwerkarte an und zwang diese via Mac und Richtlinenbasiertes Routing auf den zweiten Internetzugang. Die Browser können damit zwar nicht - aber der Downloader ist auf einzelene Netzwerkkarten auswählbar. Das reicht mir.
Dann war die bisherige Proxyprogrammierung so auf die 3.2.2 nicht übernehmbar. Die vorher macgesperrten Endgeräte hatten jetzt doch wieder Internet bekommen. Ich konnte es im Proxy nicht mehr lösen, aber dafür funktionierte das Internetfernhalten in der Firewall.
Bei der alten Endian konnte ich nicht auf das Kabelmodem (Weboberfläche) zugreifen wenn ich über VDSL surfte. Und umgkehrt. Bei der 3.2.2 geht es.
Versteh einer die Programmierer.
Richtig gut ist jetzt die Option in der Backupfunktion die Hardwareinstellungen nicht mitzusichern. Somit braucht man nicht mehr die Excludedatei von Hand anzulegen um das Selbe zu erreichen.
Was mich aber nach wie vor stört ist die rote Farbgebung der Datenverkehrkurven "Uploads" des GUI. Diese beiden Farbtöne sind so eng beieinander das ich sie nicht unterscheiden kann. Zu schade das die Farben nicht userkonfigurierbar sind.
Ich setze noch die Endian V2.5.1 ein. Leider wurde das Snortupdate abgestellt und jetzt gibt es neue Anforderungen an den Durchsatz.
Die Internetzugänge werden immer schneller, ich habe jetzt via Kabel 200MBit (216MB) und via VDSL100MBit (95MB).
Obwohl ich Snort schon geschwindigkeitsoptimierte und sakrisch schnelle Hardware einsetze, spüre ich bereits die Endian als Geschwindigkeitsdrossel.
Bei 300MBit ist da im Moment Ende der Fahnenstange weil Snort nur einen der 4 verfügbaren Prozesorkerne benutzt.
Im Herbst steht ein Kabelupdate auf 400MBit an. Das kann ich so mit der Endian vergessen.
Daher meine offenen Fragen :
Ohne Snort rennt die Endian geschätzte 1GBit/s. Ist Snort wichtig ?
Bringt ein Update auf Endian 3.0.5 die nötige Performanceverbesserung?
Werden nun alle 4 Prozessorkerne benutzt ?
Mit Snort:
[Blockierte Grafik: http://666kb.com/i/czl0d8c9h5pp43rt7.jpg]
Ohne Snort:
[Blockierte Grafik: http://666kb.com/i/czl0dqes2dqxxy2rv.jpg]
Wobei ich ja nicht vom Programmupdate rede sondern von den Rules.
Ich vermute die bezog snort vorher von einer bestimmten Quelle im Netz die jetzt umgestellt oder ausgeschaltet wurde.
Ich versuchte in stundenlanger Verzweifelung die 3.0 zu migrieren.
Wenigstens bietet Endian das mittlerweile im Updateverfahren für die Entwicklerversion an.
Es sah auch sehr gut aus - es wurden praktisch alle Einstellungen von der 2.5.1 übernommen.
Nur der HTTP Proxy lief falsch. War er aus - hatten alle Clients Internet, auch die denen das vorher über die Proxy Zugriffsrichtlinien gesperrt war. Klaro.
War der Proxy an hatte keiner mehr Internet. Was nützt eine Datenübernahme wenn die Endian sich danach selber schrottet?
Ich probierte vorher das Update auf 3.0 auf einer jungfräulichen 2.5.1 installation aus. Danach mit 3.0 funktionierte das snort Regelupdate.
Nach dem Update der gewachsenen und wichtigen 2.5.1 Version auf 3.0 ging Snort auch wieder nicht upzudaten.
Das kostet echt graue Haare.
Ich kenne mich nicht mit den Log`s aus.
Ich setzte zum Testen eine jungfräuliche Endian 2.5.1 auf.
Auch diese (wie meine beiden anderen) macht kein Snort update.
Ich vermute das geht bei niemanden mehr. Müßte so etwas Schlimmes nicht bekannt sein ?
Genau diese hatte ich probiert.
Danach startete Snort gar nicht mehr.
Vermutlich weil das Dateiformat anders ist. V2.9 hat die Endian ja nicht.
Jetzt hänge ich aber voll in der Luft.
Bemerkte erst jetzt das seit mehr als zwei Monaten das automatische Regelupdate für Snort nicht mehr funktioniert.
In meiner Unkenntniss lud ich Snort Regeln von der Snort.org Seite hoch - danach lief Snort gar nicht mehr.
Durch das Löschen der User Regel startet wenigstens Snort wieder, jedoch wohl ohne Regeln.
Kann ich wenigstens die Snort-Regeln von Hand einpflegen ? Dazu gibt es doch die leicht zu bedienende Schaltfläche "Benutzerdefinierte Regeln hochladen".
Wo bekomme ich diese her oder ist es möglich das das Update wieder wie früher automatisch funktioniert?
[Blockierte Grafik: http://666kb.com/i/ctkgfciq1ibnjtpi0.jpg]
[Blockierte Grafik: http://666kb.com/i/ctkgfx035shczlfmg.jpg]
[Blockierte Grafik: http://666kb.com/i/ctkggbt2zly1s1yl4.jpg]
Nee, nee. Die Fritzbox ist beim Privatkunden gesperrt. Daher läßt sie sich nicht im Bridgemodus betreiben.
Ich glaube sowieso das hier eine IP V6 Schaltung vorliegt - und die Endian kann das nicht.
Abhilfe ist ein Anruf bei der Kabelhotline mit der Bitte um Schaltung auf echtes Dualstack (nicht light wie jetzt) oder natives V4.
Prinzipiell funktionieren auch PCIe Nics.
Aber: Dazu muß die Endian den PCIe Chipsatz unterstützen können und die NIC.
Das ist bei deinem Acer nicht vorhersehbar.
Endian hat einen Nachlauf von einigen Jahren was die Unterstützung neuester Hardware betrifft.
Es kann also gut sein das nicht mal die eine NIC auf dem Board erkannt wird.
Dazu 500GB... Verschwendung.
Auf Nummer sicher gehst du mit einem normalen PC-Gehäuse und einem möglichst altem und großem (wegen vieler Slots) Bord, gerne auch mit 3XPCI.
Dazu eine einscheibige, günstige und leise Festplatte, gerne 2,5Zoll. Ein 250 - 350W NT mit hohem Wirkungsgrad und großem, langsamdrehenden Lüfter.
DVD brauchst nicht - ein externes USB CD oder DVD Laufwerk, einmalig angesteckt, reicht aus.
Einen Prozessor der möglichst hoch taktet - Dualcore reicht gut aus. Nur nicht die allerneueste Generation nehmen - wird wieder nicht richtig unterstützt.
Sogar ein 775 Sockel wäre gut genug.
Na Gut das es funktioniert, wie gesgat ist halt Ressourcenfressend das ganze......
Das macht doch nichts, ist der Motor am Auto stark genug zieht er auch einen Wohnwagen mit 100 den Berg rauf...
Natürlich kommste bei der Endian mit altem Billiggerümpel nicht weit.
Den abgespielten alten PC, der vor 15 Jahren ach so modern war, mal eben für die Endian weiterbrauchen wollen und dazu aber modernste Schutzfunktionen aktivieren, das geht sich nicht auf. Leistung kostet halt.
Denn ich merke nichts davon das Snort jetzt noch bremst. Aber ich ziehe ja auch den Wohnwagen mit 100 über die Alpen... 
Und als weiteren Beobachtungswert auf meinem Hauptrouter (2.5.1): Umstellung auf ac
Vorherwerte weiß ich nicht, aber mit Snort nur so um 80-90MBit - daher war Snort dauerhaft aus.
Nachher: 4-fach CPU - Snort nimmt leider nur einen Kern - 1X47% CPU 45% RAM von 3460MB und natürlich voller 152MBit Durchsatz.
Snort mußte wie schon vorher immer 2X aktiviert werden, also wenn aktiviert dann bischen später nochmal aktivieren. Vorher arbeitete es nicht, trotz grüner ON Anzeige.
[Blockierte Grafik: http://666kb.com/i/clcdjmv5oja8d8tjj.jpg]
So, habe mal meinen Reserverouter (2.5.1) auf ac umgestellt.
Angeboten hatte ich jeweils 150MBit.
DualcoreCPU
Vorher: 2X40% CPU und 70MBit Durchsatz / 12% Ram von 3549MB
Nachher : 2X35% CPU und 150MBit Durchsatz / 41% Ram
Ist es wirklich so einfach SNORT zu beschleunigen ?
