Erstmals ein herzliches Hallo an die OPNsense Community :D
ich hatte bisher Fritzboxen im Einsatz und bin neu im Opnsense Universum. Ich bitte um Nachsicht, sollte ich noch bei den Grundlagen hängen ;D
Nach reichlich Text- und Videorecherche habe ich auf eigener Hardware die Opnsense mit Version 24.1.6 am Laufen, bisher mit nur 1 PC am LAN Interface.
Installiert bzw. laufen habe ich den Squid Web Proxy (transparent), Unbound DNS, Adguardhome und ClamAV mit ICAP. Nach reichlich Testen sind mir folgende Unstimmigkeiten aufgefallen, die ich erstmals beheben möchte bevor ich das System weiter aufsetze. Bei folgenden Punkten bin ich ratlos:
1. Systemstatus unter System - Firmware - Status lädt sich zu tode
2. Der Neustart des Squid Web Proxy wirft eine Fehlermeldung, wird jedoch "grün" und läuft
3. ClamAV blockt leider keine Eicar zip Testfiles
4. Ookla Speedtest findet keinen Server ohne eine LAN_TO_ANY FW-Rule zu aktivieren
Nach Recherche vermute ich hinter 1., 2. und 3. eine fehlerhafte DNS Konfiguration. Hier die Fehlermeldung des Web Proxy:
(http://unbenannt.jpg)
Den UnboundDNS habe ich auf Port 5353 geändert. Adguardhome läuft stabil und akzeptabel schnell auf Port 53 (100-120ms Bearbeitungsdauer).
Unter Dienste - Squid Web Proxy - Verwaltung (erweiterter Modus) habe ich als alternativen DNS-Server die IP der OPNsense drinnen, also 192.168.1.1 (ohne Port). Ist das korrekt? Darüber sollte ja auch Adguard laufen? Wenn ich 192.168.1.1:53 (mit Port 53 von Adguard) einstelle, geht nichts mehr.
Unter System - Einstellungen - Allgemein habe ich alle DNS Server Einträge gelöscht.
NATs habe ich über den Web Proxy angelegt. Brauche ich hier weitere NATs? Ist es möglich, dass der ClamAV gar nicht über den Web Proxy 5353 läuft sondern weiter auf Port 53 lauscht und deshalb nichts geblockt wird?
Zu 4. vermute ich eine fehlende Firewall Rule. Ich habe nach Recherche bei Ookla den Port 8080 TCP/UDP und 5060 TCP/UDP geöffnet. Läuft bei euch der Speedtest mit diesen offenen Ports? Oder könnte das auch mit den Problemen von oberhalb zusammenhängen?
Ich wäre Euch für jegliche Hinweise sehr dankbar ???
Grüße
neuling10
Hi,
ich weiß nicht, ob ich dir viel helfen kann, Clamav und Adguard nutze ich zum Beispiel nicht.
Aber wäre es eine Idee vielleicht erstmal nur auf einzelne Punkte konzentrieren und dann nach und nach das System erweitern, wenn du dir sicher bist, dass einzelne Sachen gut funktionieren?
Meine Vermutung wäre
zu 1. fehlt vielleicht eine Regel, die der opnsense Zugriff auf das Internet erlaubt? Hast du in einem zweiten Tab / Fenster die Firewall Log mal überprüft?
zu 2. ich glaube die momentane squid Version wirft teilweise segmention fault als Fehler auf, aber läuft dann trotzdem.
zu 3. keine Ahnung
zu 4. auch mal Firewall Log prüfen was genau geblockt wird
Viel Erfolg!
Quote from: neuling10 on April 23, 2024, 07:36:12 PM
Den UnboundDNS habe ich auf Port 5353 geändert. Adguardhome läuft stabil und akzeptabel schnell auf Port 53 (100-120ms Bearbeitungsdauer).
Ändere den Port mal auf z.b. 53053, 5353 ist für einen anderen Dienst reserver ( mDNS ), da kann Problem verursachen.
Hast du System -> Settings -> General
DNS-Server eingetragen, Google oder sonstwelche der Wahl, das sind die welche die OPNSense selber nutzt. Könnte das Problem verursachen, ggf. sogar auch dein Problem 4.)
Die Auswirkung sind da eigentlich deutlich, Internet im LAN geht aber die OPNSense selber kommt nicht ins Internet.
Bei mir braucht Ookla keine extra Firewallregel
Ansonsten bin ich selben Meinung wie mein Vorschreiber - gerade als Anfänger, mache einen Schritt nach dem anderen und versuche nicht alle Funktionen gleichzeitig zu aktivieren, wo du nachher nicht weißt, was am Ende Probleme macht.
Schalte den Speedtest und Virenscanner erst mal ab und bringe den Rest zum laufen.
Vielen Dank für die Hinweise, @Tuxtom007 und @userbenutzer
Ich habe nun seit einigen Wochen Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome erfolgreich am Laufen.
Folgendes musste ich noch ändern:
- Port auf 53053 geändert
- Unter Unbound DNS -> DNS over TLS habe ich cloudflare Hosts eingetragen
- Unter Adguardhome -> Allgemein habe ich Primary DNS aktiviert
- Im Adguard Webinterface habe ich den Upstream DNS Server und den Private inverse DNS-Server ergänzt mit Port :53053
Ergänzung nach einigen Tests und einigen Wochen Beobachtung:
Durch Firewall Rules & Aliase habe ich Gruppen gebildet, die ich vom Web Proxy ausschließe (z.B. Notebook, auf dem ohnehin eine Anti-Viren Software läuft oder Devices, die sich nicht durch den Web Proxy leiten kann
Hi, könntest du deine Einstellungen detaillierter beschreiben? Ich habe die gleichen Probleme und verstehe nicht warum. Leider habe ich nicht soviel Zeit ( und Ahnung) um viele Tests durchzuführen.
Hier meine Einstellugen:
Ad Guard:
Unbound DNS allgemein
Unbound DNS over TLS
Hi,
ich habs mit meiner Konfig verglichen, dabei ist mir folgendes aufgefallen:
- Hast du im Adguard Webinterface unter Private inverse DNS-Server ebenso IP:53053 eingetragen?
- Im Unbound Service hab ich
- DNS64 Support aktiviert
- "Do not register IPv6 Link-local addresses" aktiviert (nutze keineIPv6 Adressen)
- ausgehende Netzwerkschnittstellen auf "Alle" gesetzt
- Im Unbound over TLS habe ich zusätzlich folgenden Eintrag (sollte aber mit deinen 3 Einträgen auch funktionieren):
- 1.1.1.3 853 cloudflare-dns.com
- Hast du FW-Regeln am WAN Port angelegt für alle DNS Adressen? Also z.B.:
IPv4 TCP/UDP 149.112.112.112 853 WAN_Kabel Adresse * * * QUAD9 TLSDNS response for UnboundDNS
- Unter AdGuard Primary DNS aktiviert
Hi,
- Hast du im Adguard Webinterface unter Private inverse DNS-Server ebenso IP:53053 eingetragen?
--> Ja siehe Bild
- DNS64 Support aktiviert
- "Do not register IPv6 Link-local addresses" aktiviert (nutze keineIPv6 Adressen)
--> ok, ergänz
- ausgehende Netzwerkschnittstellen auf "Alle" gesetzt
--> meinst du damit LAN & WAN ? Siehe Bild
- Hast du FW-Regeln am WAN Port angelegt für alle DNS Adressen? Also z.B.:
IPv4 TCP/UDP 149.112.112.112 853 WAN_Kabel Adresse * * * QUAD9 TLSDNS response for UnboundDNS
--> Nein, das verstehe ich nicht ganz. Warum müssen die Regeln erstellt werden? (aber klar würde gerne testen. Verstehe aber den Beispiel nicht ganz)
- Unter AdGuard Primary DNS aktiviert
--> ja war schon. siehe Bild
Hi,
probier mal den private inverse DNS Server von 127.0.0.1:53053 (Standard) auf die IP deiner Opnsense zu ändern
Hi, danke für deine Rückmeldung. habedie Einstellugnen geändert.
Habe auch versucht die FW Regeln nachzubauen --> Siehe Bild
Leider ohne erfolg :(
Meine Rules am WAN Port sehen folgendermaßen aus.
In allen LAN / VLAN Netzen, die ins Internet sollen, hab ich eine Rule zu DNS aktiv.
Achtung weiters:
Nimm unter Unbound DNS - Allgemein das Häkchen bei "DNS64 Unterstützung einschalten" wieder raus => das hat mich nun 3 Tage gekostet, da durch diese Einstellung meine Home Connect Haushaltsgeräte keine Verbindung aufbauen konnte, ich den Fehler jedoch woanders vermutet hatte.
Ansonsten müssten alle Einstellungen passen, die du gepostet hast.
Quote from: neuling10 on June 29, 2024, 04:36:28 PM
Nimm unter Unbound DNS - Allgemein das Häkchen bei "DNS64 Unterstützung einschalten" wieder raus => das hat mich nun 3 Tage gekostet, ...
Weshalb hast du es denn eingeschaltet? Das ist ein im Zusammenhang mit NAT64 nötiges Feature, das braucht man
ausschließlich in Netzen, die nur IPv6 haben, und trotzdem IPv4-Gegenstellen erreichen sollen.
Kann man den Hilfetext deiner Meinung nach verbessern?
Gruß
Patrick
Hi Patrick,
ich hatte da mit einem anderen VPN Problem in Kombination mit IPSec und Wireguard zu tun und hatte das irgendwo bei Recherchen vernommen. Ehrlich gesagt konnte ich mit der Erklärung "If this option is set, Unbound will synthesize AAAA records from A records if no actual AAAA records are present." als Neuankömmling in Sachen Netzwerktechnik und Opnsense noch nichts anfangen und hatte vergessen die Einstellung wieder rückzusetzen, als ich das VPN Problem gelöst hatte.
Mittlerweile weiß ich , dass es hier um IPv6 DNS Zuordnung geht - danke für den Hinweis, man lernt jeden Tag dazu :D
Noch eine weitere Einstellung, die wichtig war:
Bei der Erstkonfiguration im Adguardhome Webinterface mussten die Listen interfaces auf "All interfaces" und Port 53 gestellt werden.
Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.
So, es geht. Vielen lieben Dank an alle
Quote from: neuling10 on June 30, 2024, 01:39:27 PM
Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.
Warum?
Quote from: Patrick M. Hausen on July 03, 2024, 06:51:19 PM
Quote from: neuling10 on June 30, 2024, 01:39:27 PM
Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.
Warum?
Ich hatte in div. Videos vernommen, die Weboberfläche nur aufs lokale LAN Interface zu legen, um nicht von außerhalb zugreifen zu können.
Wenn ich es allerdings richtig verstehe, könnte ich von außerhalb meines lokalen Netzes ohnehin nicht zugreifen, es sei denn ich hätte eine NAT Portweiterleitung auf den Adguard Port eingerichtet...
Quote from: neuling10 on July 21, 2024, 12:22:11 AM
Ich hatte in div. Videos vernommen, die Weboberfläche nur aufs lokale LAN Interface zu legen, um nicht von außerhalb zugreifen zu können.
"in div. Videos" - von denen 99% kompletter Schrott sind. Seit wann benutzt man eigentlich Videos anstelle der Dokumentation?
Quote from: neuling10 on July 21, 2024, 12:22:11 AM
Wenn ich es allerdings richtig verstehe, könnte ich von außerhalb meines lokalen Netzes ohnehin nicht zugreifen, es sei denn ich hätte eine NAT Portweiterleitung auf den Adguard Port eingerichtet...
Exakt. So ist das gedacht. Die Firewall ist von außen dicht. Wen interessierts, auf welchen Interfaces die Web-Oberfläche ist?