{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "IT science: заметки с тегом pfsense", "_rss_description": "IT science — статьи и инструкции из мира IT", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/itscience.pro\/tags\/pfsense\/", "feed_url": "https:\/\/itscience.pro\/tags\/pfsense\/json\/", "icon": "https:\/\/itscience.pro\/pictures\/userpic\/userpic@2x.jpg?1658757154", "authors": [ { "name": "IT science", "url": "https:\/\/itscience.pro\/", "avatar": "https:\/\/itscience.pro\/pictures\/userpic\/userpic@2x.jpg?1658757154" } ], "items": [ { "id": "33", "url": "https:\/\/itscience.pro\/all\/otslezhivaem-podklyucheniya-po-vpn-na-pfsense\/", "title": "отслеживаем подключения по vpn на pfsense", "content_html": "

Пандемия 2020 дала свои плоды: удаленная работа, массовое использование VPN. Конечно, любое руководство захочет контролировать удаленное подключение\/отключение сотрудников. У себя в компании мы интегрировали VPN в пропускную систему создав виртуальный контроллер. Теперь отдел кадров видит кто посещал рабочее место зайдя в офис или подключался удаленно. Полностью расписывать весь механизм я не стану, лишь опубликую как можно организовать получение событий со шлюза на pfsense.<\/p>\n

Для начала создаём сервер на ubuntu, например, виртуальный. Требования минимальны: 1 CPU, 256Мб памяти, 10Гб диск. Я щедро выделил 1Гб памяти и 100 Гб диска, вот что реально потребляет система:<\/p>\n

\n\"\"\n<\/div>\n
\n\"\"\n<\/div>\n

Качаем минимальный дистрибутив в 74Мб http:\/\/archive.ubuntu.com\/ubuntu\/dists\/focal\/main\/installer-amd64\/current\/legacy-images\/netboot\/mini.iso<\/a><\/p>\n

устанавливаем syslog-ng<\/p>\n

sudo apt update\nsudo apt install syslog-ng<\/code><\/pre>
создаем конфиг \/etc\/syslog-ng\/conf.d\/external_log.conf<\/p>\n
source s_udp {\n    udp(port(514));\n};\ndestination d_PFSENSE_VPN {\n     program("\/usr\/bin\/php \/home\/user\/pfsense_vpn.php" );\n};\nfilter f_PFSENSE_VPN {\n    host("192.168.#.#");\n    match(",l2tp," value ("MESSAGE"));\n};\nlog {\n    source(s_udp);\n    filter(f_PFSENSE_VPN);\n    destination(d_PFSENSE_VPN);\n};\ndestination d_PFSENSE_OPENVPN {\n     program("\/usr\/bin\/php \/home\/user\/pfsense_vpn.php" );\n};\nfilter f_PFSENSE_OPENVPN {\n    host("192.168.#.#");\n    program("openvpn");\n};\nlog {\n    source(s_udp);\n    filter(f_PFSENSE_OPENVPN);\n    destination(d_PFSENSE_OPENVPN);\n};<\/code><\/pre>
где 192.168.#.# — ip-адрес pfsense<\/p>\n
перенаправим логи с pfsense на наш маленький сервер, здесь мы их будем парсить и обрабатывать как нам нужно<\/p>\n
в моём примере, мы создаем два фильтра f_PFSENSE_VPN<\/b> и f_PFSENSE_OPENVPN<\/b> для того чтобы скриптом обрабатывать только события связанные с подключением и отключением по протоколам l2tp и OpenVPN (актуально для формата логов pfsense версии 2.5.1<\/p>\n
есть два destination, но по сути они ссылаются на один и тот же скрипт d_PFSENSE_VPN<\/b> и d_PFSENSE_OPENVPN<\/b><\/p>\n
со стороны pfsense настраиваем пересылку логов на наш сервер<\/p>\n
Status -> System Logs -> Settings<\/p>\n
\n\"\"\n<\/div>\n
указываем ip-адрес и порт нашего сервера и ставим галочку «VPN Events (IPsec, OpenVPN, L2TP, PPPoE Server)», т. к. нам нужны только события удаленных подключений<\/p>\n
с парсером, я думаю, вы справитесь, приведу пример логов для OpenVPN:
\nподключение<\/p>\n<\/code>
Jun 25 18:29:57 192.168.#.# openvpn: user ’user_name’ authenticated<\/p>\n<\/code>
отключение<\/p>\n<\/code>
Jun 25 18:57:34 192.168.#.# openvpn[16766]: user_name\/132.252.198.166:6182 Connection reset, restarting [-1]<\/p>\n<\/code>
С l2tp еще проще:
\nподключение<\/p>\n<\/code>
Jun 25 18:29:57 192.168.#.# root: login,l2tp,192.168.111.#,user_name<\/p>\n<\/code>
отключение<\/p>\n<\/code>
Jun 25 18:57:34 192.168.#.# root: logout,l2tp,192.168.111.#,user_name<\/p>\n<\/code>",
            "date_published": "2021-04-21T12:01:04+03:00",
            "date_modified": "2021-04-21T12:00:30+03:00",
            "tags": [
                "l2tp",
                "logging",
                "openvpn",
                "pfsense",
                "syslog-ng",
                "ubuntu",
                "vpn",
                "Логирование"
            ],
            "image": "https:\/\/itscience.pro\/pictures\/izobrazhenie_2021-04-21_112612.png",
            "_date_published_rfc2822": "Wed, 21 Apr 2021 12:01:04 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "33",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "highlight\/highlight.js",
                    "highlight\/highlight.css"
                ],
                "og_images": [
                    "https:\/\/itscience.pro\/pictures\/izobrazhenie_2021-04-21_112612.png",
                    "https:\/\/itscience.pro\/pictures\/izobrazhenie_2021-04-21_120015.png",
                    "https:\/\/itscience.pro\/pictures\/izobrazhenie_2021-04-21_114737.png"
                ]
            }
        }
    ],
    "_e2_version": 4171,
    "_e2_ua_string": "Aegea 11.4 (v4171)"
}