Hallo zusammen,
bis auf Wireguard habe ich nicht wissentlich Ports geöffnet, nmap ist da jedoch anderer Meinung.
Host is up (0.0012s latency).
Not shown: 65526 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
80/tcp open http?
137/tcp closed netbios-ns
139/tcp closed netbios-ssn
443/tcp open https?
3128/tcp open squid-http?
8080/tcp open http-proxy?
8118/tcp open privoxy?
8228/tcp open unknown
10011/tcp open unknown
Woran könnte das liegen?
VG
Peter
Meine NI sagt: Glaskugel ist kaputt, zu wenig Information.
Unter Voraussetzung wahrscheinlicher Annahmen (nämlich: Du hast aus Deinem LAN den Scan gestartet und nicht von der WAN-Seite aus) würde ich vermuten, dass die standardmäßig auf dem LAN-Interface vorhandene Allow-Any-Regel den Zugriff auf alle Ports auf der OpnSense erlaubt.
Dieser Scan kann eigentlich kaum von außen stattgefunden haben, da Du mutmaßlich nur eine öffentliche IPv4 (hast Du die gescannt?) hast und outbound NAT jeden Zugriff verhindert, falls keine Portweiterleitungen eingerichtet wurden, was Du ja ausschließt.
Wenn Du das doch von außen gemacht hast, stellen sich Fragen: Was für ein WAN-Anschluss ist das, wie ist die Topologie?
Moin, wie im Titel geschrieben von Extern - anderes WAN ungleich meinem Anschluss. Zu den geöffneten Ports muss ich ergänzen, dass meine Telefonanlage (Fritz!Box in einem VLAN hinter der OPNSense) mit meinem Provider (VDSL 1&1) spricht - klappt alles bestens. Die Fritz!Box macht nur Telefonie, alles andere übernehmen weitere Geräte.
Zur Topologie: VDSL-> Vigor167 mit PPPoE passthrough -> WAN-Port OPNNSense -> 10Gbit Fiber VLAN 1 bis x tagged an Switch (Zyxel XMG1915-18EP).
Scan mal von innen Deine OpnSense. Ich wüsste nicht, wie die Ports 8080, 8118, 137,139 usw. überhaupt auftauchen sollten, weil die ja schon lokal nicht offen sind - wie also von außen?
Hast Du die richtige IP gescannt? Hast Du einen DS-Lite-Anschluss?
QuoteHost is up (0.0012s latency).
QuoteZur Topologie: VDSL
Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.
Quote from: chrs on July 17, 2025, 12:21:35 PMQuoteHost is up (0.0012s latency).
QuoteZur Topologie: VDSL
Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.
Den Wert habe ich auch nicht erwartet. Fakt ist, ich habe meine WAN-IP von einem anderen Anschluss mit anderer WAN-IP gescannt.
Quote from: meyergru on July 17, 2025, 10:56:00 AMScan mal von innen Deine OpnSense. Ich wüsste nicht, wie die Ports 8080, 8118, 137,139 usw. überhaupt auftauchen sollten, weil die ja schon lokal nicht offen sind - wie also von außen?
Hast Du die richtige IP gescannt? Hast Du einen DS-Lite-Anschluss?
Den Scan von innen auf die LAN-IP meiner OPNSense oder von innen auf die WAN-IP der Sense? Die gescannte IP hat gepasst. Was DS-Lite betrifft, wie würde ich das erkennen?
Beides.
1&1 VDSL macht teilweise DS-Lite. Du würdest es typischerweise daran sehen, dass die in OpnSense angezeigte WAN-IP eine aus dem Bereich 100.64.0.0/10 oder eine RFC1918 ist. Diese unterscheidet sich oft auch von der IP, die nach außen sichtbar wird, wenn man Verbindungen aufbaut.
Das würdest Du sehen, wenn bei https://wieistmeineip.de eine andere WAN-IP angezeigt wird als in Deinem Dashboard.
Es gibt hier auch einen Test dafür: https://ip.zuim.de/
Wenn das kein voller Dual-Stack ist, dann hast Du ein Router-behind-Router-Szenario, bei dem Du Dir die WAN-IP mit mehreren Kunden teilst. Es ist dabei nicht möglich, einen Port per IPv4 weiterzuleiten (der wäre nur für den Provider selbst erreichbar), bzw. bewirkt es nichts.
Bei Scans von außen erreichst Du also gar nicht Deine OpnSense, sondern den vorgeschalteten Router.
Quote from: Pitti3303 on July 17, 2025, 03:56:54 PMvon einem anderen Anschluss
Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?
Quote from: meyergru on July 17, 2025, 04:24:05 PMBeides.
1&1 VDSL macht teilweise DS-Lite. Du würdest es typischerweise daran sehen, dass die in OpnSense angezeigte WAN-IP eine aus dem Bereich 100.64.0.0/10 oder eine RFC1918 ist. Diese unterscheidet sich oft auch von der IP, die nach außen sichtbar wird, wenn man Verbindungen aufbaut.
Das würdest Du sehen, wenn bei https://wieistmeineip.de eine andere WAN-IP angezeigt wird als in Deinem Dashboard.
Es gibt hier auch einen Test dafür: https://ip.zuim.de/
Wenn das kein voller Dual-Stack ist, dann hast Du ein Router-behind-Router-Szenario, bei dem Du Dir die WAN-IP mit mehreren Kunden teilst. Es ist dabei nicht möglich, einen Port per IPv4 weiterzuleiten (der wäre nur für den Provider selbst erreichbar), bzw. bewirkt es nichts.
Bei Scans von außen erreichst Du also gar nicht Deine OpnSense, sondern den vorgeschalteten Router.
Die im Dashboard angezeigte IP stimmt mit der von https://wieistmeineip.de überein.
Quote from: chrs on July 17, 2025, 04:24:57 PMQuote from: Pitti3303 on July 17, 2025, 03:56:54 PMvon einem anderen Anschluss
Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?
Bin jetzt wieder @home, das muss ich in der nächsten Woche mal nachreichen.
Dann sind noch zwei weitere Fragen offen: Was zeigt der DS-Lite Test und was passiert, wenn Du von innen scannst?
Außerdem kannst Du auch von zu Hause einen solchen Scan anstoßen, z.B. hier: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap
Ich denke immer noch, dass die Ergebnisse auf eine Fehlmessung hindeuten, weil sie offene Ports anzeigt, wo gar keine sind. Selbst, wenn Du eine Fehlkonfiguration hättest, gibt es nicht solche Ergebnisse.
Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?
Quote from: meyergru on July 17, 2025, 04:37:03 PMDann sind noch zwei weitere Fragen offen: Was zeigt der DS-Lite Test und was passiert, wenn Du von innen scannst?
Außerdem kannst Du auch von zu Hause einen solchen Scan anstoßen, z.B. hier: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap
Ich denke immer noch, dass die Ergebnisse auf eine Fehlmessung hindeuten, weil sie offene Ports anzeigt, wo gar keine sind. Selbst, wenn Du eine Fehlkonfiguration hättest, gibt es nicht solche Ergebnisse.
Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?
Von innen auf die LAN-IP der Sense:
Not shown: 994 filtered tcp ports (no-response)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
443/tcp open https
3128/tcp open squid-http
8080/tcp open http-proxy
von innen auf die WAN-IP:
Not shown: 996 filtered tcp ports (no-response)
PORT STATE SERVICE
80/tcp open http
443/tcp open https
3128/tcp open squid-http
8080/tcp open http-proxy
Die Testseite zeigt mir meine v4 Adresse und wird bei v6 nicht fertig. ("Warte auf IPv6")
Quote from: meyergru on July 17, 2025, 04:37:03 PMDu hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?
Nein
Du hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.
Quote from: meyergru on July 17, 2025, 05:11:08 PMDu hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.
Stimmt, der komplette Scan läuft.
Quote from: Pitti3303 on July 17, 2025, 05:23:13 PMQuote from: meyergru on July 17, 2025, 05:11:08 PMDu hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.
Stimmt, der komplette Scan läuft.
Der Port Scanner (Light) von https://pentest-tools.com hat beim Top 100 Test keinen offenen Port gefunden.
Quote from: Pitti3303 on July 17, 2025, 05:23:13 PMQuote from: meyergru on July 17, 2025, 05:11:08 PMDu hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.
Stimmt, der komplette Scan läuft.
Host is up (0.0010s latency).
Not shown: 65528 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
80/tcp open tcpwrapped
443/tcp open tcpwrapped
3128/tcp open tcpwrapped
8080/tcp open tcpwrapped
8118/tcp open tcpwrapped
8228/tcp open tcpwrapped
10011/tcp open tcpwrapped
NSE: Script Post-scanning.
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed
Tja, das ist deckungsgleich mit dem, was Du von außen gesehen hast. Mir ist immer noch schleierhaft, was auf Ports 8080,8112,8228 und 1011 läuft.
Port 137 und 139 könnten aus Sicherheitsgründen vom Provider geblockt sein, weshalb Du die von intern nicht mehr siehst.
3128 ist der Squid-Proxy, 80 und 443 wahrscheinlich das Web-UI Deiner OpnSense. Anscheinend alle offen.
Das können an sich nur Floating-, WAN- oder Portweiterleitungsregeln sein, die fehlerhaft angelegt sind. Per Default lässt OpnSense nichts rein.
Quote from: meyergru on July 17, 2025, 06:34:55 PMTja, das ist deckungsgleich mit dem, was Du von außen gesehen hast. Mir ist immer noch schleierhaft, was auf Ports 8080,8112,8228 und 1011 läuft.
Port 137 und 139 könnten aus Sicherheitsgründen vom Provider geblockt sein, weshalb Du die von intern nicht mehr siehst.
3128 ist der Squid-Proxy, 80 und 443 wahrscheinlich das Web-UI Deiner OpnSense. Anscheinend alle offen.
Das können an sich nur Floating-, WAN- oder Portweiterleitungsregeln sein, die fehlerhaft angelegt sind. Per Default lässt OpnSense nichts rein.
Was mich etwas entspannt, ist der Test von pentest-tools.com. Würde es trotzdem gern verstehen, wie das zustande kommt.
Und Du bist Dir sicher, dass das die richtige IP ist? Hast Du an den `nmap`mal ein "-O" rangehängt?
Und zur Struktur: V-DSL? Fritz!? Welche IP zeigt Deine OPNSense auf "ROT" an?