PFSense, ExtraIP en verschillende gateways

Mocht je gebruik willen maken om verschillende externe IP adressen te verbinden aan verschillende netwerken kan je dit bewerkstelligen door gebruik te maken van de firewall rulesets. In deze kan je binnen PFsense namelijk opgeven welke gateway er gebruikt moet worden.

Stel dat ik mijn clientVLAN over mijn eigen internet provider wilt sturen terwijl mijn default gateway is ingesteld is op ExtraIP?

Maak een nieuwe FW rule aan op het ClientVLAN of pas de huidige aan, zorg dat deze op IPv4 staat en klik daarna op “Display Advanced”
Onderin de firewall rule, bij Gateway, kan je nu kiezen welke route het verkeer van deze firewall route moet volgen, zo kan je dus kiezen tussen WAN of ExtraIP.

Per firewall rule kan je dit natuurlijk weer verder specificeren, als je maar rekening houdt dat je firewall rules top down worden doorgevoerd.

Wil je dus 1 specifieke client via WAN naar buiten sturen, zal deze rule boven de algemene rule zitten.

In het kort – more specific bovenin, algemeen onderin.

Resetten van de HSTS cache

Het wil nog wel eens gebeuren dat een certificaat wordt vervangen en je daarna, met de nieuwe feature HSTS, je de site niet meer kan openen.

In Chrome en Edge Chromium kan je deze op onderstaande manier resetten en zo doende weer de site bezoeken.

In Edge:

edge://net-internals/#hsts

In Chrome:

chrome://net-internals/#hsts

Onderin kan je de HSTS van de te bezoeken website resetten.
Daarna kan je weer gebruik maken van de website.

Vul hier uw hostnaam in welke niet meer werkt, zoals HOST01.krgt.nl en druk op delete.

PFSense en ExtraIP.com IPv6 configuratie

Als aanvulling op de IPv4 configuratie, is het ook mogelijk om bij ExtraIP.com gebruik te maken van een IPv6 /48 subnet, deze wordt aangeboden middels een GIF tunnel. Om reverse DNS te kunnen gebruiken dien je je eigen DNS servers beschikbaar te hebben, dit is wel belangrijk, want zonder rDNS kan je bijvoorbeeld niet e-mailservers gebruiken op IPv6, maar ook bij website geweigerd worden vanwege het ontbreken ervan.

Ga naar Interfaces > Assignments

Klik op “GIF’s”

Klik op Add

Maak nu de tunnel aan met onderstaande gegevens (welke aangeleverd worden door ExtraIP.com

Ga nu naar Interfaces > Interface Assignments en voeg de toegevoegd IPv6 GIF tunnel toe zodat deze in het overzicht komt en neem onderstaande gegevens over: (MTU + MSS)

Ga nu naar routing:

En selecteer de ExtraIPV6_TUNNELV6 als default gateway:

Nu heb je IPv6 werkend, alleen kan je er nog geen gebruik van maken, aangezien je de IPv6 subnets nog niet verdeeld hebt over je interne netwerk. Om te zorgen dat je gebruik kan maken van SLAAC knip je de netwerken in stukken van /64.

Dit ziet er dan zo uit:
Stel dat je IPv6 adres block dit is: 2a00:00c0:0001::/48
Deze kan je dan makkelijk verdelen op de volgende manier:
LAN: 2a00:00c0:0001:1234::1/64
DMZ: 2a00:00c0:0001:5678::1/64
Guest: 2a00:00c0:0001:4321::1/64
etc… etc… je hebt ook nogal wat IPv6 adressen beschikbaar, om precies te zijn:
1,208,925,819,614,629,174,706,176 IPv6 adressen!!!
Een /64 heeft 18,446,744,073,709,551,616 IPv6 adressen! Er gaan 65.535 /64 Subnets in een /48 netwerk!

Bij mij ziet het er zo uit:

Daarna dienen nog de DHCPv6 Server & RA instellingen gedaan worden per VLAN, zodat clients daadwerkelijk IPv6 adressen kunnen gaan gebruiken en ermee kunnen communiceren.

In tegenstelling tot IPv4, gebruik je bij IPv6 de firewall voor het toelaten van verkeer. Denk eraan dat IPv6 veel gebruik maakt van ICMP, deze dien je ook toe te laten: (http://www.ietf.org/rfc/rfc4890.txt)
Kort samengevat:

Destination Unreachable (Type 1) – All codes
Packet Too Big (Type 2)
Time Exceeded (Type 3) – Code 0 only
Parameter Problem (Type 4) – Codes 1 and 2 only
Echo Request (Type 128)
Echo Response (Type 129)
Time Exceeded (Type 3) – Code 1
Parameter Problem (Type 4) – Code 0

Ongoing….

Iemand raadt steeds mijn wachtwoord?

Het kan zo maar zijn dat iemand jouw accountgegevens heeft, denk hierbij aan je iCloud gegevens, in deze gegevens worden ook jouw wachtwoord gesynchroniseerd, zodat de persoon toegang heeft tot alle websites waar jij het wachtwoord van hebt opgeslagen. Om te controleren of iemand, zonder dat jij dit wilt, gebruikt maakt van jouw iCloud kan je het volgende controleren:

Controleren locatie apparaten:
Ga naar: https://www.icloud.com
Log hier in met jouw AppleID
Klik op Zoek iPhone:

Na nogmaals het wachtwoord ingevoerd te hebben klik je bovenin op:

Hier komt 1 of meerdere apparaten tevoorschijn:

Staat hier een onbekend apparaat in? Klik op dit onbekende apparaat, er komt dan een menu met onderstaande opties tevoorschijn en de (mogelijke) locatie waar het apparaat zich bevind.

Aan de hand van de locatie zou je eventueel kunnen zien om wie het zou kunnen gaan, als dit blijkt, zou ik de vervolg stappen nog niet uitvoeren om eventueel bewijs te hebben.

Staat er een vreemd apparaat in Zoek iPhone? Ga dan verder hieronder:
Ga naar: https://appleid.apple.com/account/manage
Log hier in met je iCloud account.
Scroll nu een klein stukje naar beneden, totdat je bij apparaten bent:

Klik op de naam van het onbekende apparaat:

Klik daarna op Verwijder.

Na dit alles dien je het iCloud wachtwoord opnieuw in te stellen, zodat diegene niet wederom zijn telefoon kan toevoegen:
Dit doe je bovenin op dezelfde pagina:

Privacy statement

Kragt-ICT, gevestigd in Geertruidenberg, is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Contactgegevens:

Persoonsgegevens die wij verwerken
Kragt-ICT verwerkt uw persoonsgegevens doordat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt.

Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken:
– Voor- en achternaam
– Adresgegevens
– Telefoonnummer
– E-mailadres
– IP-adres
– Bankrekeningnummer

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken
Onze website en/of dienst heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar. Tenzij ze toestemming hebben van ouders of voogd. We kunnen echter niet controleren of een bezoeker ouder dan 16 is. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming. Als u er van overtuigd bent dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact met ons op via Rick.kragt@192.168.2.230, dan verwijderen wij deze informatie.

Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken
Kragt-ICT verwerkt uw persoonsgegevens voor de volgende doelen:
– Het afhandelen van uw betaling
– U te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren
– Om goederen en diensten bij u af te leveren
– Kragt-ICT verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze belastingaangifte.

Geautomatiseerde besluitvorming
Kragt-ICT neemt niet op basis van geautomatiseerde verwerkingen besluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen. Het gaat hier om besluiten die worden genomen door computerprogramma’s of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van Kragt-ICT) tussen zit.

Hoe lang we persoonsgegevens bewaren

Kragt-ICT bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Delen van persoonsgegevens met derden
Kragt-ICT verstrekt uitsluitend aan derden en alleen als dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting.

Cookies, of vergelijkbare technieken, die wij gebruiken
Kragt-ICT gebruikt geen cookies of vergelijkbare technieken.

Gegevens inzien, aanpassen of verwijderen
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Kragt-ICT en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar Rick.kragt@192.168.2.230.

Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek.

Kragt-ICT wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons

Hoe wij persoonsgegevens beveiligen
Kragt-ICT neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik neem dan contact op via Rick.kragt@192.168.2.230