Messages

Das kann niemand ohne Einblick in dein Netz, deinen Netzaufbau, dein WLAN Setup und deine Firewall Regeln jetzt einfach so beantworten. Offensichtlich wird die "pass any" rule die du hast nicht genutzt, also kommt das Paket entweder übers falsche Interface, am falschen VLAN an, matcht nicht auf die Regel etc. etc. - gibt viel zu viele Möglichkeiten warum die Regeln nicht greift, als das man das durch einen Satz erkennen könnte :)

Uh. Seit der Erstellung der VLANs, wird die Sache etwas komplizierter zu erklären, aber ich versuche es mal. Plan kann ich auch liefern wenn notwendig.
Diese Einträge fabriziert der Samsung meiner Frau. Ist einer der 4 Handys die sich in diesem Netz befinden - 3x IOS und 1x Android (VLAN130).
Der VLAN130 geht von der OPNsense aus, über einem HP Switch, getrunkt zum Unifi Switch, und dort isoliert im Wifi für Mobile Geräte auch in VLAN 130. Also das sollte eigentlich sauber sein.
Du Rule sollte jedoch gut greifen, da wenn ich die Abschalte, auf den Handys nix mehr geht. Es kommen auch massiv andere :443 Anfragen nicht durch.
Mittlerweile schaut es so aus:
WLAN_Mobile      Feb 15 17:17:41   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:41   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:12   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:12   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:13:04   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:13:04   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:11:36   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:11:36   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:14   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:14   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:12   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:12   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule
Was mich so irritiert ist dass es in regelmäßigen Abständen passiert.
Und, dass es nur von einem Handy stammt: nix gegen Android, aber meine iPhones machen das nicht ;-)
Eigentlich kann's mir egal sein, da es eh "blockiert" wird, aber würde nur gerne rausfinden warum, denn lt. Regeln dürfte es nicht sein. Ich möchte nur dass alles sauber ist, mehr nicht.

Was kann ich liefern damit man der Ursache näher kommt?

Ich sag nur vielen Dank für die sehr klare Darstellung. Mir war ehrlich gesagt der Zusammenhang Resolver, Forwarder und Root Server (Hints) nichts ganz klar. Jetzt ist mir aber die Sache um einiges klarer!

Never did anything at Github.
Should I put it under Issues?

Hello,
what is a proper way to suggest a (small) optical change?

Bei der Firewall Rule-Erstellung fällt mir was ein:
Mein Mobil_WLAN hat eigentlich nur ein Rule aktuell: IPv4* *alles überallhin*.

Jedoch kommt immer wieder:
Feb 15 13:28:47   192.168.130.3:49965   172.217.22.202:443   tcp   Default deny rule

Warum? Das ist doch was vom Google, warum würde HTTPS ausgehend zum internen Interface blockieren?

Den Vergleich mit WireGuard finde ich unfair.

Da gebe ich dir Recht. Schneller getippt als nachgedacht wohl.
Aber es steht schon, dass die Konfiguration von WG nicht die benutzerfreundlichste ist. Ich "muss" die Keys per Mail senden... nicht wirklich sonderlich sicher, auch wenn verschlüsselt.

Openvpn: nicht fertig konfiguriert. Ist aber an meiner To-Do Liste. Sofern man die .ovpn Dateien herunterladen kann, geht OK. Danke für die Info.

Ja, das mit Kategorisieren habe ich bei der Sophos immer ordentlich gemacht. Jeder Rule ist in einer Gruppe.

Gut ist es aber auch hier gelöst, ich könnte den Gruppen Farben vergeben, wäre nur der Platz der Beschreibung und Farb-Punktes getauscht! So sieht es vollkommen unübersichtlich wenn die verschiedenen Punkte links rechts wandern, wenn man viele hat... wo kann man solche Vorschläge reinbringen, wäre echt cool wenn das durch ein Update gemacht werden könnte. Sofern es die anderen auch für sinnvoll halten.

Von den Aliasen habe ich mittlerweile ziemlich beschlossen mich weg von Port-Gruppierungen zu halten, schon alleine aus dem Grund dass man sieht wann die Regel genutzt wurde. Jedoch die Destination Gruppierungen wiederum halte ich für sehr sinnvoll. Für zB. Netzwerke, damit sie nen Namen bekommen.

XG hatte ich übrigens auch in der Sicht, aber die Tests die ich vor 1 Jahr gemacht habe, haben mich von XG wieder weggepusht. Deswegen blieb ich in der Firma bei der UTM, haben sogar heuer die Lizenz für weitere 3 Jahre gekauft. Mal sehen. Sollte ich mit OPNsense mich anfreunden, vielleicht in 3 Jahren auch in der Firma auf OPNsense wechseln.

Eine Sache finde ich jedoch richtig grauslich, gehört zwar nicht zu Firewall jetzt dazu, aber das Thema VPN... was in der Sophos paar Klicks sind, sind in der OPNsense gefühlt 1000... hab gestern für mich persönlich Wireguard konfiguriert. Holy sh... Sogar im Wireguard Docker-Container ist es 100x einfacher. Erstellen, Ports angeben, scannen, fertig. Wo ist das in OPNsense? DAS wäre geil.
OpenVPN habe ich nicht getestet, gibt es dort ein Profil-Download?

Ich fand persönlich das Firewall-Management in Sophos UTM teilweise besser gelöst. Wobei es sind ja auch zwei völlig verschiedene Konzepte (die Funktionalität ist gleich, aber die Übersicht). Bei der Sophos konnte ich in einer Oberfläche alles wie genau nach Bedarf kombinieren. Und es ist viel schneller zu "sagen" "diese Netze, diese Ports, dorthin" und aus. In der OPNsense muss ich auf verschiedenen Interface-Ebenen rumeiern.
Natürlich könnte ich dafür Floating verwenden, aber trotzdem keine Übersicht wirklich.
Vielleicht ist es nur eine Gewöhnungssache.

[nächste Interface auswählen]

Man kann Regeln doch prima klonen. Auf einem Interface eine Regel anlegen dann auf klonen klicken und das nächste Interface auswählen, speichern und siehe da die Regel ist auf dem nächsten Interface angekommen. Ich finde das sauber und übersichtlich.

Stimmt! Daran habe ich nicht gedacht. Ja, so kann ich es tun, danke!

Gut. Und eine andere Sache an der ich hänge:
Ich würde gerne wissen, wofür die offenen Ports genutzt werden. zB. ich habe ausgehend Port 1900 auf meinem Rechner. Ich kenne nur TCPview. Gibt's was was mehr anzeigt?

Und praktiziert ihr Standardports zu gruppieren? Also bspw. HTTP und HTTPS via Aliases gruppieren? Irgendwie denke ich wenn ich sie einzeln habe, nicht jetzt nur auf HTTP bezogen, oft ist es so dass es nicht immer TCP und UDP ist, sondern bei einem das eine, und dann wieder das andere Protokoll.

Hallo,
ich habe meine VLANs erstellt, Switches konfiguriert und aktuell ist überall Any -> Any. Das wird jetzt geändert und ich plane gerade wie ich das anstelle. Daher wollte ich mir hier vorher paar Tipps von euch holen, wie ihr das macht.
Also grundsätzlich habe ich allgemeine Rules, zB. HTTP/S, DNS usw out. Das gehört für die meisten. Also wird es wohl ein (bzw. mehrere) Floating rules.
Aber, zB dort stört mich was: ich könnte entweder INT-Gruppierung machen oder auswählen. Geht, aber stört mich massiv dass ich in der Überblick nicht sehen kann, welche Intf oder Gruppen ausgewählt sind.
Alternative ist ich mache rules für jedes Intf, was aber ziemlich blöd ist, da man die nicht kopieren/hinzufügen kann, sondern nur als neu erstellen kann.
Grundsätzlich praktiziere ich alles Deny und dann erlauben schrittweise. Das gilt aber runter bis zum letzten Port.
Ich tät mich einfach um paar Tipps freuen.

Hallo,
wie schon der Titel sagt: mein Plex Server rennt auf einem Docker, auf einem Ubuntu-Server, und dieser ist in einem eigenen VLAN als die IoT Geräte, wie RP4 wo Kodi drauf ist oder mein Rechner wo auch Kodi installiert ist.
Plex wird nicht gefunden, wenn man danach sucht, aber funktioniert wenn ich ihm mit der IP Adresse anspreche.
Lt. Plex Doku ist es so, dass Plex aktuell "GDM network discovery" nutzt), oder auch ältere Bonjour/Avahi discovery.
Ich habe mir den udp broadcast relay geholt, und die Ports 5353, 32410, 32412, 32413 und 32414 dort eingetragen, für LAN und Server Interface. Mehr bräuchte man angeblich nicht.
Sollte das funktionieren?

Unbound sollte eine Liste von Forwardern haben ...

Genau das hat mir eben gefehlt. Ich bin Windows-geschädigt, und bin erst seit ca. 2 Wochen im Linux und OPNsense drin. Windows war meine erste und bisher einzig bekannte Plattform. Daher auch aktuell schwierig was anderes zu verstehen, auch wenn ich die Sachen grundlegend verstehe. Und ja, ich denke auch dass der Unbound zu viel rundherum hat und vieles etwas unverständlich ist. Aber, ich mache mir deswegen Mühe die Sache grundlegend zu verstehen. Ich bin optimistisch :)

Dazu dient eine fix mit der Software gelieferte Liste der Root-Server, also der für die Domain ".".

Ahja, genau! Das fehlte mir, aus meinem Wissen über Windows DNS - habe einfach nicht 1+1 zusammengezählt.
Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?

warum will man das so konfigurieren?
was willst du damit bezwecken?
ich habe wenigstens einen dns in system --> setting --> general.
was bezweckst du mit dieser frage?

Verständnis wie Unbound DNS funktioniert. Vielleicht hätte ich mit der Frage anfangen sollen.
Ich versuche zu verstehen in welchen Zusammenhang Unbound DNS und die Einstellungen in System-Setting-General. Ich versuche es einfach zu lernen und verstehen wie der Datenfluss ist, damit ich es für die diversen Konfigurationen verstehe.

Hallo,
wo nimmt sich bitte Unbound DNS die externen Server wenn:
- keine im Unbound DNS zu finden sind?
- keine im System: Settings: General DNS Servers konfiguriert sind
- Allow DNS server list to be overridden by DHCP/PPP on WAN deaktiviert ist?