Topics

Hallo

ich beschäftige mich aktuell mit den neune Regeln (Rules [new]).
Wie sinnvoll ist es, hier auf die Reihenfolge zu achten um die Firewall möglichst wenig zu belasten?
Aktuell habe ich "nur" 159 Regeln. Ich vermute, dass meine Hardware dies einfach wegdampft. 

Gibt es eine grobe Abschätzung ab wie vielen Regeln man dort ein Auge drauf werfen sollte? 1000? 10000? gar nicht?
Wie auch in den alten Regeln ist mir bewusst, dass bei Mischung von Actions die Reihenfolge beachtet werden muss. (Erst allgemein blocken und dann zulassen wird halt einfach nicht klappen wenn alles auf "Quick" eingestellt ist.)


Gibt es irgend eine Art von "Best Practice"? Oder einfach nur "hauptsache es klappt"?

Hallo

auch wenn es evtl. nur bedingt direkt mit der OPNsense zu tun hat hoffe ich, das mir jemand helfen kann.

Ich habe hier folgende Konstellation:
Ich habe 2 Proxmox Hypervisoren. Auf jedem Hypervisor laufen 2 OPNsense VMs.
Hypervisor PMFW1: 

• FW1
• FWInternBackup

Hypervisor PMFW2:

• FW2
• FWIntern

Die FW1 ist mit der FW2 eine Hochverfügbare Firewall.
Die FWIntern mit der FWInternBackup.

Eine kleine Gemeinsamkeit haben alle OPNsense. Sie habe alle im VLAN1 eine Netzwerkverbindung. VLAN 1 ist das allgemeine VLAN in welchem Server (aber auch Clients, Drucker etc.) laufen. 
Ansonsten sind sie in unterschiedlichen Netzwerkbereichen / VLANs / Broadcast Domänen unterwegs.

Ich habe auf allen OPNsense Maschinen CARP am laufen. Durch CARP werden die Netzwerkkarten in den Promiscuous Mode versetzt. (Nachher noch wichtig?) 
Auf der FW1 läuft OpenVPN als Server.
Die jeweiligen CARP IDs (aktuell 1-22) vergebe ich absolut einzigartig. So kann ich mir sicher sein, dass es auch wirklich keine doppelten MAC-Adressen gibt.

Nun haben wir folgendes Problem:
Wenn man im OpenVPN Netz unterwegs ist und Telefonate via Softphone führen möchte so muss man vom VPN Netzwerk (10.20.253.0/24) zum Server Netzwerk (10.20.16.0/21) bzw. zum Server 10.20.20.52.

Die Pakete werden erstmal sauber geroutet eine Verbindung kommt zu Stande und es sieht alles gut aus.
Nach einer Bestimmten Zeit X (dies kann eine Minute oder aber auch über 40 Minuten betragen) bricht das Telefonat ab.
Wenn ich die FWInternBackup ausschalte kann ich so lange ich möchte telefonieren.

Ich habe nun mit Wireshark das ganze soweit eingegrenzt, dass es daran liegt, dass die FWInternBackup irgendwann ein ICMP "Time-to-live exceeded" sendet und daher dann das Telefon abbricht. Ist vielleicht etwas unglücklich in der Software umgesetzt aber leider nicht änderbar.
In dem ICMP Paket steht, dass es von Server zu Client gehen sollte.
Wenn ich die Details von dem Paket anschaue, dann sehe ich, dass das Paket aber auf dem Client angekommen ist.

Nun wundert es mich, dass dieses ICMP Paket überhaupt existiert.

Meine aktuelle Vermutung ist, dass die FWInternBackup das Paket dank Promiscuous Mode mitbekommt, denkt es wäre was für die FWInternBackup, es versucht zuzustellen (indem sie das Paket erst an ein anderes Gateway 10.46.23.2 und dieses dann an die FW1 weiterleitet) , es sich dann wieder im Proxmox Host "im Kreis dreht" und dann irgendwann der TTL zuschlägt und die FWInternBackup den Client via ICMP informiert.


Jemand eine Idee wie man das verhindern kann?

Alles was mir einfällt wäre mit mehr Hardware zu schießen indem ich jeder OPNsense eigene Hardware kaufe. Hier bin ich mir jedoch nicht 100% sicher ob dies dann wirklich hilft wegen Promiscuous Mode wenn die dann einfach an einem physikalischem Switch hängen statt einem virtuellen?

Danke schonmals und Viele Grüße

Hallo

ich habe ein Script geschrieben mit welchem ich auf die API für die Firewall Aliase zugreife.

Das ganze funktioniert auch einwandfrei wenn ich einen Nutzer habe welcher die Berechtigung "All pages" hat.
Meinem Verständnis nach wäre würden die Berechtigungen 

• Firewall: Alias: Edit
• Firewall: Aliases

für meinen Zweck ausreichend.

Ich nutze die URLs:

• /api/firewall/alias/searchItem
• /api/firewall/alias/setItem
• /api/firewall/alias/reconfigure
• /api/firewall/alias/addItem

Weiß jemand warum dem so ist?
Ist die API nur für "All pages" Benutzer zugelassen?


Danke und Gruß

Hallo zusammen


ich habe hier insgesamt 4 OPNsense am laufen.
- FW Extern Master
- FW Extern Slave
- FW Intern Master
- FW Intern Slave


Ein Master bildet mit einem Slave ein "Cluster".


Nun möchte ich gerne bei beiden Mastern die Aliase vereinigen.


Meine einzige Idee bisher ist dies über ein externes Script und über die API abzubilden.

Hat jemand noch eine andere Idee?
Oder stand evtl. jemand bereits vor dem gleichen Problem und hat schon eine Lösung?


Alles zusammen zu einem Cluster zu legen ist leider keine Option.


Danke und Gruß

Hallo zusammen

ich verwalte inzwischen ein Netzwerk mit 30+ Netzbereichen. Clients, Server, Drucker, mehrere Produktionsbereiche und viele kleinere Bereiche.

So langsam bin ich an meiner Grenze der Übersichtlichkeit angekommen. Und das bei ~90 Regeln pro Interface.
Ich hatte mal eine Firewall im Einsatz (weiß den Namen leider nicht mehr) bei welcher ich aufklappbare "Bereiche" (mit freier Namenswahl) machen konnte.
So gab es einen Bereich mit "Clients -> Server".
Einen weiteren Bereich mit "Clients -> Drucker" und so weiter...

Wie macht ihr das wenn ihr bei viele Regeln die Übersicht behalten möchtet? Über kurz oder lang vermute ich, dass ich bei mindestens 300+ Regeln in manchen Interfaces landen werde.
Nutzt ihr die Kategorisierung? Nach was Kategorisiert ihr?

Was ich aktuell mache:
Ich "denke" mir auch solche Blöcke und sortiere die Regeln entsprechend.
So geht erst ein Block mit "Clients zu Server" los. Dann "Clients zu Drucker" etc....
Diesen Block zu erkennen ist meistens relativ schwer und manchmal eine Kunst für sich.
Vor allem wenn man wie ich oder Kollegen nicht täglich damit arbeiten.


Daher die Frage ob es hier andere Ideen gibt auf die ich bisher nicht gekommen bin :)

Danke!

Hallo


wie sieht es eigentlich aus wenn man mehrere Wireguard Site-to-Side Verbindungen aufbauen möchte?
Reicht hier eine Instanz mit mehreren Peers?
Oder muss man für jede Verbindung eine extra Instanz anlegen?


Gibt es hierfür ein Best Practice?


Danke und Gruß

Hallo zusammen


ich habe hier ein Cluster laufen bei welchem die Master FW sporadisch (alle Tage mal) kein Routing mehr zulässt.
Internet etc. hinter der FW ist alles stabil. Habe sogar 2 WAN Leitungen dran.


Ich selbst komme auf die Weboberfläche, sehe keine ungewöhnlichen Ausschläge oder sonstiges.
Ich schalte dann das CARP händisch auf die Backup um. (Temp. Disable CARP)
Danach funktioniert wieder alles wie gewohnt. Habe testweise auch schon tagelang die Backup FW als CARP Master laufen lassen.
Hier gab es keine Ausfälle.

Hat jemand eine Idee woran das liegen könnte?


Danke und Gruß

Hallo

ich habe ein Hochverfügbares FW Cluster bei welchem eine WAN Schnittstelle via PPPoE  angeschlossen ist.
Dies funktioniert auch problemlos. Ich kann händisch aussuchen welche FW sich damit verbinden soll.
Nun gibt es unter "System: High Availability: Settings" ja die Einstellung mit "Disconnect dialup interfacces".
Leider funktioniert dies bei mir nicht anständig.

Ich habe bei beiden Firewalls unter Interfaces: [Telekom] die PPPoE Daten "Username" und "Password" eingegeben. Kann die Verbindung über "Interfaces: Overview" auch entsprechend herstellen und trennen.

Im Hilfetext von "Disconnect dialup interfacces" steht:
When this device is configured as CARP backup it will disconnect all PPP type interfaces and try to reconnect them when becoming master again.

Nur welches CARP ist hier gemeint? Muss ich für die Telekom IP ein weiteres CARP anlegen?
Dann muss ich (vermutlich) in den Interface Einstellungen einstellen, dass keine automatische IP über PPPoE gezogen wird? Falls ja: Wie mache ich das?

Auf den FWs laufen bereits 5 Weitere CARP Interfaces. Natürlich auf anderen Netzwerkadaptern und keines auf dem Telekom Interface.

Alle sind auf Master Status. Trotz allem ist die Leitung immer auf der Backup FW aktiv.
Ich glaube die Backup FW macht keinen Disconnect wenn alle CARP Interface auf "Backup" stehen.


Vielleicht bekomme ich hier den passenden Tipp damit es so funktioniert wie es sollte.

Danke schonmals

Hallo


mir ist aufgefallen, dass ich keinerlei CARP Pakete im Live Log der Firewall entdecke.
Wenn ich ein Packet Capture auf dem (beispielsweise) Interface opt5 durchführe so sehe ich jede Sekunde einen CARP/VRRP Eintrag:



x.y.90.11 ist die Firewall selbst


Wenn ich allerdings über die Live Log gehe sehe ich nur tcp,udp,icmp,esp. Mehr sind mir aktuell nicht aufgefallen.


Wird dies irgendwo vorher bereits herausgefiltert?


Danke und Gruß

Hallo

Ich habe auf GitHub den aufbau der Filterlogs entdeckt.
ports/opnsense/filterlog/files/description.txt at master · opnsense/ports (github.com)

Hier gibt es ja das Feld "label". Sollte dies dann der Regelname sein?
Wenn ich in meine Log Datei schaue so steht dort leider nichts drin.

Beispielzeile:

Code Select Expand

<134>1 2023-08-31T23:59:59+02:00 OPNsense1.domain.intern filterlog 44229 - [meta sequenceId="732913"] 73,,,fae559338f65e11c53669fc3642c93c2,vtnet2,match,pass,out,4,0x0,,63,2556,0,DF,17,udp,64,10.10.10.219,10.10.20.108,54268,53,44

Unter Label würde hier ja "fae559338f65e11c53669fc3642c93c2" stehen. Gibt es alternativ eine Möglichkeit dies "aufzulösen"?

Was genau habe ich vor:
Ich würde die Logs gerne in eine SQL Datenbank oder ähnliches werfen um diese etwas besser auswerten zu können.
Das Projekt von Frabianfrz kenne ich bereits. Bringt mich leider auch nicht so ganz an mein Ziel.
Excel macht ja nur bis 1 Mio. Zeilen mit. Da bin ich locker drüber.




Gibt es ansonsten ganz alternativ ein Programm dem ich die Filter.log füttere und diese ausgewertet zurückbekomme oder so?

Hallo


ist sonst schon jemandem aufgefallen, dass seit die DHCP Leases mit dem neuen Interface angezeigt werden ewig bis gar nicht laden?

Hallo


ich habe eben einen OpenVPN Server in der neuen Ansicht erstellt und versuche nun einem Client eine feste IP zuzuweisen. Leider kann ich unter "Client Specific Overrides" nicht den neuen Server auswählen sondern nur die alten (aus dem alten "VPN -> OpenVPN -> Servers").


Wie kann ich einem Client eine neue fixe IP zuweisen wenn ich die "Instances" GUI benutze?


Danke und Gruß

Hallo zusammen


vielleicht kann sich von euch jemand einen Reim auf folgende Situation machen:
Ich habe 2 OPNsense Firewalls im Einsatz als HA Setup.
Habe dies bereits seit einigen Monaten in der Konstellation laufen. Es wurden die CARP IPs sauber ausgehandelt und so weiter.
Die HauptFW war immer Master und der Slave immer Backup.
Die HauptFW ist virtualisiert (ProxMox), die Backup ist auf Blech. Eigentlich ist geplant die FW komplett aufs Blech zu bekommen... Bei 24/7 Betrieb und vielen Projekten musste dies bisher hinten anstehen.
Da die Interfaces auf Hardwareebene nicht gleich heißen brechen die TCP Streams unter anderem ab. Dies ist bewusst sollte aber auch nichts ausmachen.


Nun zu meinem Problem:
Seit einigen Tagen habe ich nun jedoch das Problem, dass auf dem CoreSwitch die ARP Tabelle sagt, dass die CARP LAN Adresse zur BackupFW gehört und nicht wie bisher der HauptFW. Hierdurch klappt dann natürlich das Routing nicht sauber und ich habe keinen Zugriff ins Internet bzw auf das was durch die FW geht.
Es wurde nichts an der Netzwerkkonstellation geändert. Keine Switch Änderung, nichts an der FW verstellt oder ähnliches.
Die BackupFW sagt weiterhin, dass die CARP IPs im Backup Status sind.


Habe nun vorrübergehend die BackupFW ausgeschalten. Zwar nicht schön aber erstmal funktionabel bis ich eine Idee habe wie ich den Fehler eingrenzen könnte...



Jemand eine Idee zu dem Thema?

Hallo zusammen
ich bin aktuell etwas am verzweifeln was die OpenVPN Performance angeht.


Bissel Grundinfo:
Server:
Internet -> Down:200 Mbit/s  und  Up:200 Mbit/s

Lenovo ThinkSystem SR630Auf Blech installiert.
Intel Xeon Silver 4210R @ 2.40GHz - 3,20 GHz (10 cores, 20 threads)
32 GB RAM
SSD Storage


Client[size=78%]:[/size]
Internet -> Down:400 Mbit/s  und  Up:12 Mbit/s

Windows 11
Intel i7-1260P
16 GB RAM
SSD


Allgemeines:

Ich kann via SFTP die vollen 200 Mbits ausschöpfen.
Alle Geräte sind via 1 Gbit Kupfer angeschlossen.
Es sollte eine TCP Verbindung sein und keine UDP.
Ja ich weiß, die 20 Threads bringen nicht viel. Aber die Hardware war halt eben einfach da.


OpenVPN Server:
Protocol: TCP
TLS Authentication: Enabled - Authentication & encryption
Encryption algorithm: AES-256-CBC
Auth Digest Algorithm: SHA256
Compression: No Preference
Advanced: keepalive 10 60






Ich bin bereits eine ganze Weile am herumprobieren wie ich die maximale Performance via OpenVPN heraushole. Leider ist das Ende der Fahnenstange immer bei ~50-60 Mbit/s.
Ich habe auch bereits so Späße wie ohne TLS Authentication, Encryption algorithm und Auth Digest Algorithm getestet. Auch hier bin ich bei ~50-60 Mbit.


Hat jemand eine Idee warum dem so ist?
Irgendwelche geheimen Tricks um die Performance anzuheben?
Bin auch gerne bereits bissel Lesestoff zu bekommen  ;)


Danke und Viele Grüße

Hallo zusammen


gibt es eine Möglichkeit die FW so zu starten das sie nicht direkt versucht CARP Master zu werden?
Ich kenne die Möglichkeit "Disable preempt" unter "System: High Availability: Settings" aber gibt es solchetwas auch als Tastenkombination?

Oder kann man das "Disable preempt" auch via CLI aktivieren?

Danke und Gruß

Hallo


stehe hier vor einem Merkwürdigem Problem und weiß nicht mehr so ganz weiter...


Habe hier 2 Standorte mit jeweils 2 Firewalls. Diese sind jeweils hochverfügbar konfiguriert.

Standort 1 ist als OpenVPN Server konfiguriert. IP Adresse ist eine CARP Adresse.
Standort 2 ist als OpenVPN Client konfiguriert.


Ich habe eine Site-2-Site VPN Verbindung mithilfe von OpenVPN aufgebaut. Diese ist im Normalfall stabil und ohne Probleme.


Fahre ich nun an Standort 1 die Master-OPNsense herunter, so geht natürlich auch der OVPN Tunnel down. Der Slave am Standort 1 wird zum Master und die Tunnel starten neu und alles funktioniert wieder.


Wird nun die eigentliche Master FW erneut gestartet, bootet diese, erhält die CARP Adressen aber die OVPN Tunnel kommen nicht so recht zueinander. In der log der ClientFW sehe ich folgende Einträge:

Code Select Expand



<27>1 2022-07-31T12:57:30+02:00 OPNsense1.standort2 openvpn 19200 - [meta sequenceId="244"] Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #184 / time = (1659264564) 2022-07-31 12:49:24 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings



Erst wenn ich am Standort1 die Slave FW herunterfahre / neustarte klappt alles wieder reibungslos.
Es ist als würde die ClientFW nicht mitbekommen, dass der Server nun woanders läuft(?)
Ich habe schon versucht mithilfe von keepalive Settings dies abzufangen, leider kappt dies nicht oder ich bin zu blöd dafür.

Kann mir jemand sagen warum dem so ist und was man dagegen machen kann?

Danke und Gruß

Hallo zusammen

habe ein Problem mit meiner IPSec Verbindung und weiß mir irgendwie nicht zu helfen...
Die Verbindung steht und das wohl auch stabil (zumindest beklagt sich keiner).
Jedoch wird jeden Tag eine Log Datei mit mehr als 250 MB erstellt.
Leider kann ich nichts aus der Log herausfinden warum wieso weshalb dies so ist... Vielleicht hat von euch einer eine passende Idee?

Im Anhang ist ein kleiner Auszug der Log Datei.
Ich bin 198.51.100.194 und die andere Firewall ist 203.0.113.154
Leider habe ich keinen "direkten" Zugriff auf die andere FW um diese zu konfigurieren da hier ein (kleines) Systemhaus dahinter steht mit denen man jedoch wirklich gut reden kann :)

Daten zur VPN Verbindung:
Phase1:

Code Select Expand


General information:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: 198.51.100.194 (Virtual IP WAN)
Remote gateway: 203.0.113.154
Dynamic gateway: deaktiviert

Phase 1 proposal (Authentification)
Authentication method: Mutual PSK
My identifier: IP address -> 198.51.100.194
Peer identifier: IP address -> 203.0.113.154
Pre-Shared Key: *******

Phase 1 proposal (Algorithms)
Encryption algorithm: AES128
Hash algorithm: SHA256
DH key group: 14 (2048 bits)
Lifetime: 3600

Advanced Options
Install policy: Aktiviert
NAT Traversal: Disable
Close Action: None
Dead Peer Detection: 10    5    Restart the tunnel


Phase2:

Code Select Expand


General information:
Mode: Tunnel IPv4

Local Network:
Type: Network
Address: 10.46.20.232/29

Remote Network:
Type: Network
Address: 192.168.190.0/24

Phase 2 proposal (SA/Key Exchange)
Protocol: ESP
Encryption algorithms: AES128
Hash algorithms: SHA256
PFS key group: 14
Lifetime: 3600


Hallo zusammen


Im Falle es haben nicht alle bemerkt:
Mit dem Update auf OPNsense 22.1 hat sich das Logging der Dateien verändert. Hierdurch kann es zu erhöhtem Speicherverbrauch kommen da die (nun rotierenden) Logs Standardmäßig 31 Tage aufbewahrt werden.
Die Tage der Aufbewahrung kann unter "System -> Settings -> Logging" eingestellt werden.

Bei meinen Tests konnte der Wert im laufenden Betrieb geändert werden und nach einiger Zeit (unter einer Stunde) wurden auch die Logs entsprechend Bereinigt.

Habe eben versucht meine BackupFW zu updaten von 21.7.6 (glaube ich) zu 21.7.8 was funktioniert hat.
Wenn ich nun ein Update suche bekomme ich folgendes in der Log:

Code Select Expand



***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 21.7.8 (amd64/OpenSSL) at Tue Feb  1 16:49:44 CET 2022
Fetching changelog information, please wait... fetch: https://pkg.opnsense.org/FreeBSD:13:amd64/21.7/sets/changelog.txz.sig: Not Found
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/21.7/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/21.7/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***


Fehlen hier noch repositories zur FreeBSD13? Oder ist hier etwas falsch verlinkt?
Als Version im Dashboard habe ich:

Code Select Expand


OPNsense 21.7.8-amd64
FreeBSD 13.0-STABLE
OpenSSL 1.1.1m 14 Dec 2021[size=78%]
Daher denke ich, dass der Link zum repository "FreeBSD:13:amd64" richtig sein sollte.


Noch jemand mit dem Problem unterwegs?


Danke und Gruß[/size]

Hallo zusammen


kann mir jemand den Hintergrund erklären warum ssh-rsa Keys nicht mehr zulässig sind?
Das seit geraumer Zeit die SSH1 Keys als veraltet zählen und nicht mehr akzeptiert werden ist mir bewusst.
Jedoch ist ssh-rsa doch mit SSH2 verschlüsselt oder nicht? (Meine Keys sind es soweit ich dies nachvollziehen kann)


Wenn ich versuche mich via ssh-rsa Key zu verbinden sehe ich in der Log:

Code Select Expand

fw1 sshd[58978]: userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]


Mit einem ECDSA Key funktioniert es direkt.