Christian Skrevet 20. desember 2017 Skrevet 20. desember 2017 Jeg har satt opp Sophos XG som så langt fungerer fint, har fått satt opp VPN og noen enkle regler for å tillate, eller ikke tillate tilgang. Det jeg ønsker nå er å sette opp en regel som tillater tilgang til f.eks HSTouch, altså åpne en port, men kun fra gitte mac adresser, jeg har forsøkt det meste jeg kan komme på. Jeg greier å filtrere på IP. Men om jeg setter Mac adressen til telefonen min så kommer jeg ikke inn. Er det noe slikt at Mac-adressen forsvinner når den går igjennom ett bridget modem ? Siter
Neophyte Skrevet 20. desember 2017 Skrevet 20. desember 2017 Jeg kjenner ikke til Sophos spesifikt men å filtrere på mac adresse krever at du har en lag 2 brannmur. Og mac adresse er kun synlig på lokal link, så hvis planen var å bruke brannmurregler med mac adresse når du kobler til med VPN er det ikke mulig. 1 Siter
Christian Skrevet 20. desember 2017 Forfatter Skrevet 20. desember 2017 Takk for svar. Nei planen var å slippe å bruke VPN fra kjente MAC adresser.... Jeg forsøkte å åpne for alle og sperre mac adressen til telefonen, men jeg kom igjennom likevel, så det er tydelig at brannmuren ikke leser mac adressen som kommer inn. Siter
Neophyte Skrevet 20. desember 2017 Skrevet 20. desember 2017 Å basere sikkerhet på MAC adresser er forresten en dårlig ide, de er synlig for alle og enkle å endre. 1 Siter
Christian Skrevet 20. desember 2017 Forfatter Skrevet 20. desember 2017 Å basere sikkerhet på MAC adresser er forresten en dårlig ide, de er synlig for alle og enkle å endre.Okei ? Men hva er den beste/lureste måten å sikre seg da når det er porten jeg må ha åpne ?Sent from my iPhone using Tapatalk Siter
Neophyte Skrevet 20. desember 2017 Skrevet 20. desember 2017 Skal du åpne porter fra internett eller fra lokalnett? Hvis du har satt opp VPN er det vel tilstrekkelig å åpne for tilgang når man er koblet til VPN eller kommer fra lokalnettet? Siter
Christian Skrevet 20. desember 2017 Forfatter Skrevet 20. desember 2017 Jeg har blant annet Gefoency som sender lokasjon til Homeseer, denne er greit å ha gående uten å må gå på VPV når man kommer hjem, så det er fra LAN -> WAN jeg skal åpne. Siter
Neophyte Skrevet 20. desember 2017 Skrevet 20. desember 2017 Regner med at Geofency sender posisjonsdata til en skytjeneste, og så henter Homeseer data derfra? LAN -> WAN er jo vanligvis alt åpent hvis du ikke har laget spesielle regler. Siter
Christian Skrevet 20. desember 2017 Forfatter Skrevet 20. desember 2017 Nei. Gefoency sender fra mobiltelefonen. på f.eks http://minip:mingeofency. fra wan til lan Siter
Neophyte Skrevet 20. desember 2017 Skrevet 20. desember 2017 Ok, så Geofency sender en oppdatering til Homeseer-serveren med posisjonsoppdatering? Og du vil at det skal virke uten VPN når du ikke er hjemme Når du er hjemme og koblet til wifi vil mobilen kunne kommunisere direkte med homeseer og du trenger ingen brannmurregler. Men du vil ikke kunne bruke public ip med mindre du konfigurerer loopback/hairpin-NAT på Sopohos. Siter
ZoRaC Skrevet 20. desember 2017 Skrevet 20. desember 2017 2 timer siden, Christian skrev: Er det noe slikt at Mac-adressen forsvinner når den går igjennom ett bridget modem ? Mac-adressen "forsvinner" med en gang du passerer en ruter, så det vil ikke være mulig å bruke som regel fra WAN-siden. Og som det også sies, mac-adresser er lett å forfalske og bør ikke brukes som sikkerhet. 22 minutter siden, Christian skrev: Nei. Gefoency sender fra mobiltelefonen. på f.eks http://minip:mingeofency. fra wan til lan Jeg bruker også Geofency og hadde samme utfordring. Jeg løste det med å sette opp en egen Nginx-server (med PHP og TLS-kryptering) på en egen port. Denne har jeg HTTP Basic Auth på, i tillegg til at brannmuren bare slipper igjennom norske IP-adresser. Denne Nginx-serveren kjører en 2-3 linjers PHP-fil, som egentlig bare tar i mot henvendelsen og sender data videre mot "http://127.0.0.1/phlgeofency" (eller hva den nå heter). Ellers har jeg valgt å ikke åpne for HSTouch fra WAN-siden, siden trafikken er ukryptert. Jeg må da koble på med VPN først og så starte HSTouch. Webgrensesnittet til HS har jeg også bare åpnet for kryptert via en Nginx reverse proxy. Siter
ZoRaC Skrevet 20. desember 2017 Skrevet 20. desember 2017 Har du tilgang til en webserver på nett med TLS-kryptering? I så fall kan det kanskje være det enkleste - sett opp Geofency til å rapportere mot en enkel PHP-fil på den, PHP-filen sender det så videre til HS-serveren din. Da trenger du bare åpne for IP-adressen til webserveren din i brannmuren, da alle Geofency-forespørslene vil komme fra den. Siter
Moskus Skrevet 20. desember 2017 Skrevet 20. desember 2017 PHlocation kan nå brukes direkte på HS sin egen webserver, og dermed med MyHS... Siter
ZoRaC Skrevet 20. desember 2017 Skrevet 20. desember 2017 46 minutter siden, Moskus skrev: PHlocation kan nå brukes direkte på HS sin egen webserver, og dermed med MyHS... Hvordan? Finner ikke noe info om det på PHLocation-forumet. Hvilken URL definerer man da i Geofency? Siter
Christian Skrevet 20. desember 2017 Forfatter Skrevet 20. desember 2017 Men litt kjedelig at man ikke får autentisert på MAc, selv om dette kanskje ikke er den sikreste måten, så hadde det vært veldig praktisk å kunne ha de forskjellige portene åpne hele tiden, men kun mot fast MAc, men er det ikke mulig så er det ikke mulig.. Siter
Thorbjørn Skrevet 20. desember 2017 Skrevet 20. desember 2017 Dessverre, som andre har påpekt. Brannmuren ser kun IP-adresser og ikke MAC-adresser, og slik er det meningen at det skal være også fra begynnelsen av. Kort forklart, din mobiltelefon sin MAC-adresse er kun synlig på ditt lokale nettverk hjemme og ikke synlig for eks Google, VG osv. Når du er koblet til mobilnettet(3G, 4G osv) så er det kun mobilleverandøren din sitt mobilsystem(kort forklart) som ser din MAC-adresse. Dersom du har behov for å eksponere tjenester på internett så bør du enten sørge for at tjenesten du eksponerer håndterer sikkerhetsutfordringene knyttet til det, alternativt bruke en VPN-forbindelse hjem til deg. VPN skaper da en link mellom deg(mobilen din) og ditt interne nett. Du må da naturligvis eksponere VPN-tjenesten, men med ett tilstrekkelig godt brukernavn, passord og gjerne ett sertifikat så er det brukbart trygt Siter
Moskus Skrevet 20. desember 2017 Skrevet 20. desember 2017 1 time siden, ZoRaC skrev: Hvordan? Finner ikke noe info om det på PHLocation-forumet. Hvilken URL definerer man da i Geofency? Står i hjelp-filen. ... og her: https://forums.homeseer.com/showthread.php?t=192135 Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.