Hallo,
ich habe heute bei Opnsense ein Update von Version 23.7 auf 24.1.3_1 durchgeführt. Leider funktioniert seit dem mein Softphone am Rechner nicht mehr, da keine Verbindung zur Fritzbox mehr hergestellt werden kann. Die Konstellation ist folgende:
Internet => Fritzbox => Opnsense => Client.
Die Fritzbox ist bei mir auch die TK-Anlage, der Softphone-Client verbindet sich also mit der Fritzbox über UDP.
Die Firewallregeln scheinen noch da zu sein, trotzdem kommt keine Verbindung zu Stande. Die Regeln habe ich hier kurz angehängt.
Hat jemand eine Idee woran es liegen kann oder wie ich die Ursache herausfined?
Wenn du IDS/IPS benutzt schalte die mal aus.
Super das hat schon mal funktioniert! Vielen Dank!!!
Ich hab jetzt man den IPS Mode deaktiviert und nur IDS angeschaltet. Damit klappt es auch. Jetzt muss ich nur noch rausfinden warum es blockiert wird und wie ich das verhindere.
Weil IPS einfach Grütze ist? ::)
Ja ich weiß IPS ist umstritten. Ist nur merkwürdig, dass es seid 2 Jahren problemlos lief und jetzt nach dem Update Ärger macht.
Ich mach seit 30 Jahren Netzwerksicherheit. Also Firewalls, aber auch landesweite VPNs, ISP-Backbone, eigenes AS etc. pp.
Alle paar Jahre guck ich mir IDS/IPS mal wieder an. So ungefähr seit mit Snort das Schweinderl das erste Mal durchs Dorf getrieben wurde. Und jedesmal komme ich zu dem Schluss, dass die Dinger mehr Arbeit und Probleme machen als sie Nutzen bringen.
Was ich interressant finde, sind honeypot- und logbasierte Reputationssysteme wie Crowdsec. Die greifen nicht annähernd so tief in den Netzwerkstack ein und blocken die erwiesenermaßen bösen Burschen trotzdem weg.
Danke dir für den Hinweis. Das schau ich mir mal näher an.
Bei mir läuft jetzt die SIP Telefonie erst mal wieder und inzwischen sogar mit aktiviertem IPS. Einmal Deaktivieren und wieder aktivieren hat etwas genützt. Der vorherige Neustart von Opnsense hatte nichts gebracht.
Auch nicht Web Application Firewalls vergessen, die sind genau so nutzlos.
Sind halt alles irgendwelche Regex Muster die versuchen irgendwie irgendwas zu blocken, da ist keine wirkliche Intelligenz dahinter. Und fast alles sind false positives.
(Sehr generalisiert gesehen, solche funktionen Nützen nur was mit maßgeschneiderten Regeln. Und das kostet richtig.)
Nachdem mein SIP jetzt wieder funktioniert habe ich gleich den Tipp Patrick aufgegriffen und Crowdsec eingerichtet. Scheint soweit alles zu laufen. Habt ihr dort noch zusätzliche Blocklists eingebunden und wenn ja welche? Im Community Plan kann man ja 3 von den freien Blocklists einbinden, wenn ich es richtig verstehe.
Ich hab mir drei von den Firehol-Listen rausgepickt. Bisher keine negativen Auswirkungen bemerkt. Zusätzlich blocke ich mit AdGuard Home per DNS.
Ok drei von den häufig aktualisierten Firehol-Listen habe ich mir jetzt auch dazu genommen.
AdGuard Home läuft bei mir seid einiger Zeit auch noch zusätzlich.
Danke für die Tipps.
Hast du Lust IPS noch mal zu aktivieren und dann das Log und die Alerts seit dem Start und Anrufsversuch posten? Es gibt unterschiedliche Meldungen, teilweise hat man hier auch schon gelesen dass es mit 24.1.3_1 gefixt ist, irgendwie stochern wir da alle noch im Dunkeln, was genau mit Suri 7 da Probleme macht.
Hallo mimugmail,
ich habe IPS wieder aktiviert. Komischerweise gibt es jetzt keine Probleme mehr mit dem Telefonieren, obwohl ich an den Einstellungen nichts geändert habe.
Hallo!
Ich hatte das selbe Problem. Als ich dann die SIP-Verbindungen von UDP auf TCP umgestellt habe lief wieder alles.
Auf die Idee das dies plötzich am IDS liegen könnte bin ich nicht gekommen, zumal ich auch extra nochmal FW rules eingerichtet hatte die explizit UDP Verbindungen zur FB erlaubt hatten .....
Hallo cds,
das hatte ich genauso bei mir eingerichtet. Nach dem Update auf 24.1.3_1 lief es dann plötzlich nicht mehr, obwohl die Regeln noch gesetzt waren. Auch ein Neustart von Opnsense hatte nichts gebracht. Ich habe dann bei mir IDS komplett ausgeschaltet und seitdem geht es auch wieder mit eingeschaltetem IDS bzw. IPS. Warum kann ich aber nicht sagen.
Wahrscheinlich hat es das explizite "Apply" gelöst. Ein Neustart löst das glaub ich nicht aus.
Apply generiert die configs auf der xml und läd den Dienst neu, das passiert beim Neustart des Systems automatisch. Wenn du aber oben rechts den restart button zwischen start/stop klickst, wird nur der Dienst neu gestartet, ohne das config-file aus dem xml zu generieren (gilt grundsätzlich für alle services).
Ja, mit IPS kann man schön seine Zeit vertrödeln :)
Quote from: Patrick M. Hausen on March 14, 2024, 06:35:47 PM
Ich mach seit 30 Jahren Netzwerksicherheit. Also Firewalls, aber auch landesweite VPNs, ISP-Backbone, eigenes AS etc. pp.
Alle paar Jahre guck ich mir IDS/IPS mal wieder an. So ungefähr seit mit Snort das Schweinderl das erste Mal durchs Dorf getrieben wurde. Und jedesmal komme ich zu dem Schluss, dass die Dinger mehr Arbeit und Probleme machen als sie Nutzen bringen.
Was ich interressant finde, sind honeypot- und logbasierte Reputationssysteme wie Crowdsec. Die greifen nicht annähernd so tief in den Netzwerkstack ein und blocken die erwiesenermaßen bösen Burschen trotzdem weg.
Crowdsec ist -denke ich- der bessere Ansatz. Die Schwarmintelligenz dahinter hat schon viele Vorteile.
IPS ist nur schwer berechenbar und schießt gerne quer.
IDS/IPS würde ich auch nur dort einsetzen wofür es gedacht ist - in einer DMZ.
Ich finde an crowdsec schade, dass die freie Version hinterher hinkt und die nächst höhere Stufe viel zu teuer ist