OPNsense Forum
International Forums => German - Deutsch => Topic started by: lenny on October 25, 2019, 07:23:32 pm
-
Hallo zusammen,
seit Jahren habe ich ipfire im Einsatz, mal mehr mal weniger zufrieden.
Langsam scheint es (leider) immer mehr einzuschlafen.
Bei pfSense hatte ich immer wieder bedenken wegen des Sitzes in der USA - auch wenn der Funktionsumfang deutlich höher war.
Nach nun langen Gedanken, wird es wohl opnSense für mich werden.
Eins vorweg, wird es zukünftlich etwas vergleichbares wie pfblockerng geben? damit dachte ich, meinen pihole ablösen zu können.
Aber nun zu den eigentlichen Fragen:
Die iptables werde ich händisch übertragen müssen, gibt es jedoch die Möglichkeit andere Einstellungen zu übertragen:
- ovpn config inkl. certs
- Host einträge bzw. statische dhcp Einträge
- wird Samba (ich weiß, ist eine FW und kein Nas) unterstützt?
- wie wird das WLAN in opnS gehandhabt? Eigenes IF mit eigenem IP Bereich oder kann man das überbrücken?
Ich hoffe, ein paar Antworten zu bekommen und nicht nur gelächter :)
VG
-
OpenVPN gibt's ein custom field, aber es geht auch ohne.
OPNsense ist eigentlich feature gleich. Statt pfblocker kannst du DNSBL über dnscrypt-proxy plugin machen. Bald gibt's das auch für Unbound. GeoIP geht von Haus aus schon.
Rule Import machst du am besten händisch, bester Lerneffekt.
-
Samba muss man selber aus dem ports tree bauen. Ich würde es nicht tun, weil das eher nicht da hin gehört aber das sei dir überlassen.
-
Danke schon einmal dafür!
Wie läuft es mit dem WLAN in OPN sense? kann auch dieses in VAP / Vlans unterteilt werden?
was mir bei OVPN in der VM aufgefallen ist, dass er zwar fragte, ob er die automatischen Regeln setzen soll, dies hat er aber nicht auf dem WAN eingehend gemacht. Ist das versteckt oder gibts da evtl. einen BUG?
(Bei der Ipfire werden "von der FW selbstinitierte" Regeln nicht angezeigt.)
-
Wie läuft es mit dem WLAN in OPN sense? kann auch dieses in VAP / Vlans unterteilt werden?
Grundsätzlich sollte man bei den *sensen von internen WLAN-Lösungen die Finger lassen, da die Treiberunterstützung von FreeBSD für WLAN-Hardware einfach schlecht ist! Ich hab selbst lang genug mit WLAN und OPNsense herumgedocktert... ::)
Von daher nutze einen eigenen AP und Du wirst glücklich! ;)
-
Ohje...
Nicht mal "ältere" Atheros Karten im N Standard?
-
Mit Atheros 9280 Karten habe ich unter OPNsense einigermaßen stabile Ergebnisse erzielt. War aber noch unter V18.1.x.
Seither nutze ich einen AP und damit ist unser WLAN deutlich besser geworden (Geschwindigkeit, Stabilität und Abdeckung).
-
Das ist gut, die habe ich derzeit verbaut.
Extra APs sind im Einsatz. Aber für das ganze IoT geraffel hat sich das "eigentlich" bewährt und komplett gekapselt.
Theoretisch kann ich die Konfig in einer VM bauen und später die Datensicherung in der Produktivien wiederherstellen, oder?!
-
Extra APs sind im Einsatz. Aber für das ganze IoT geraffel hat sich das "eigentlich" bewährt und komplett gekapselt.
Ja, aber warum nicht einfach auf dem AP ein 2. WLAN nur für IoT aufmamchen. Selbst billige AP unterstützen MultiSSD. Die Trennung der Netze erfolgt dann per VLAN.
Theoretisch kann ich die Konfig in einer VM bauen und später die Datensicherung in der Produktivien wiederherstellen, oder?!
Ja, aber Du musst darauf achten, dass die verwendeten NIC identisch sind. Ansonsten musst Du in der Config-Datei die (Treiber)Namen der verwendeten NIC anpassen (z.B. igb -> re). Dann kannst Du die Config 1zu1 auf die andere HW umziehen.
-
Weil ddwrt nicht immer sauber mit VAP funktioniert.
Macht es bei der Widerherstellung einen Unterschied, dass man erst die VGA Version installiert hat und dies auf einer seriellenconsole Version wiederherstellt?
-
Am Wochenende mal bisschen weiter gemacht:
- OVPN - läuft. Nur nicht mit 2 FA - es erscheint keine Abfrage (2FA Server ist eingerichtet und in den Einstellung ist dies konfiguriert, mit lokaler DB und TOTP Server - bei der WebGUI Anmeldung erscheint auch keine Abfrage
- WLAN - noch nicht getestet
- DHCP und statische Einträge - u.a. mit Unbound gelöst
Nun das negative:
- Regeln...ANY Regeln sind immer nicht so gut. Bei der IPfire gab man als Ziel das Rote (WAN) Interface an, dann war alles ins WAN erlaubt, aber nicht in andere Netze. Setzt man dies nun so in der OPN um, bekommt man keine Verbindung. In einem anderen BEitrag erfuhr ich, dass man dort ANY stehen haben "muss". Finde ich nicht so gut gelöst.
- Der Proxy...wurde gemäß doku/wiki eingerichtet. Die Automatischen Regeln erzeigt, aber ich komme über den Proxy einfach ins Internet. Deaktiviere ich die automatischen Regeln und schalte das LAN Netz frei, funkioniert es. Fehler nicht erkennbar. LiveLog ist grün...
- zu guter Letzt, das LOG. Das Livelog gefällt mir, aber wenn man wissen will, was in der Vergangenheit passiert ist, wird es sehr gruselig.
Wobei mein Hauptproblem tatsächlich der Proxy ist, der nicht läuft. Hatte ähnliches hier schon gefunden, dort wurde die localhost 127.0.0.1 auf die echte Interne IP geändert, half bei mir jedoch nicht.
-
Guten Morgen,
Ich verstehe nicht warum Du nicht bei IPFire bleibst. Ist doch eine gute Software und scheint ja offensichtlich besser Deine Anforderungen ab zu decken.
Und was ich noch fragen muss, wird das hier ein Vergleichsbericht oder möchtest Du Hilfe für ein bestimmtes Problem. Wenn zweiteres solltest Du vielleicht ein paar mehr Aussagekräftige Angaben hier hinterlegen. Sowas wie Logfiles zum Beispiel.
Zum Thema Any. Ich habe bevor die Any Regel kommt, welche nur die Ports enthält die auch wirklich ins WAN sollen, für alle anderen Netzte eine any reject Regel.
-
Es ist kein Vergleichsbericht, ich möchte jedoch anderen evtl. Umstellern mit meinen Erfahrungen Tipps geben, was deutlich anders ist, als gewohnt.
Hilfestellung wäre für die Proxy Problematik toll, dafür gibt es jedoch schon ein Thema. Jedoch leider bisher nicht beantwortet.
-
Der Proxy...wurde gemäß doku/wiki eingerichtet. Die Automatischen Regeln erzeigt, aber ich komme über den Proxy einfach ins Internet. Deaktiviere ich die automatischen Regeln und schalte das LAN Netz frei, funkioniert es. Fehler nicht erkennbar. LiveLog ist grün...
Moin,
evtl. solltest Du auch erklären, wie Du den Proxy eingerichtet hast (transparent, mit/ohne SSL-Interception). Auch wären Screenshots Deiner Regeln recht hilfreich.
Nutzt ja nix, wenn ich hier schreibe, dass bei mir der Proxy problemlos läuft... ;)
Gruß
Dirk
PS: Da ich ja auch von ipfire komme. Ja, die Regeln sind etwas anders anzuwenden. Suche mal hier im Forum nach RFC1918. Da wirst Du dann Beispiele finden um den Traffic zwischen den Netzen auf der OPNsense zu unterbinden.
-
Der Proxy ist nach doku transparent mit SSL eingerichtet.
Ohne den tranparenten Modus mit manuellen Eintrag im Client funktioniert es jedoch auch nicht.
Ziel wäre, den Proxy transparent mit SSL injection funktionierend laufen zu lassen.
Die Screenshots reiche ich später nach :)
-
Der Proxy ist nach doku transparent mit SSL eingerichtet.
Ohne den tranparenten Modus mit manuellen Eintrag im Client funktioniert es jedoch auch nicht.
Ziel wäre, den Proxy transparent mit SSL injection funktionierend laufen zu lassen.
Die Screenshots reiche ich später nach :)
Am besten Du fängst in kleinen Schritten an.
Erstmal nur den normalen Proxy ohne Transparent konfigurieren. Dann im Browser den Proxy konfigurieren und schauen ob es geht. Klappt das kannst Du den transparenten Modus aktivieren.
-
Das stimmt, nur wo setzt man an. An die Doku habe ich mich gehalten.
Kann man Squid komplett zurücksetzen und frisch einrichten?
-
Was hast Du denn da bis jetzt konfiguriert. Viel ist ja da nicht zu machen.
General Proxy Settings - einfach Enable Proxy
Forward Proxy - Das/Die Interface/es anklicken auf denen der Proxy lauschen soll. Proy Port 3128 eingeben den Rest erstmal so hacken raus lassen
Access Control List - Allowed Subnetz das/die Netze eingeben.
Das sollte schon reichen. Noch die Firewallregeln für 3128 anpassen und im Browser unter Proxy Einstellungen die IP des Proxys angeben mit Port 3128.
-
Bisschen weiter bin ich.
ich habe die automatischen Regeln deaktiviert.
Die OPN noch mal upgedatet.
der Proxy hat nun auf HTTP (firefox entsprechend angepasst) reagiert und ich konnte surfen.
HTTPS funktioniert jedoch nicht.
Transparent wollte es auch nicht so richtig.
Nach dem Update war im var/log/squid.log kein eintrag mehr - vorher war es recht voll
-
Du kannst im Browser doch für http und https den Proxy angeben. Wenn Du bei beiden den selben Proxy und Port, (ja selber Port) an gibst sollte auch https gehen.
-
Teste ich mal.
Warum soll dort der selbe Port genutzt werden? (wenn default ein anderer ist)
-
default ist kein anderer Port.
Wenn Du einen "NICHT transparenten" Proxy hast kann der HTTPS Verkehr über den selben Port geregelt werden wie der HTTP Verkehr. Da der Client eine direkte Kommunikation mit dem Server im Wan hat. Der Proxy reicht nur weiter. Bei einem transparenten Proxy wird der verschlüsselte Verkehr aufgebrochen, rein geschaut und dann wieder zusammengesetzt. Das geschieht mit unterschiedlichen Zertifikaten zwischen Client und WAN Server. Dafür wird ein anderer Port verwendet.
-
Hallo lenny
Bin ebenfalls vor einiger Zeit von der Fire auf die Opnsense gewechselt vor allem wegen VLAN und frei defierbare Firewall Zonen. Die Opensense macht einiges einnwenig anders aber wenn man sich daran gewöhnt hat möchte man sie nicht mehr missen.
Zum Thema ANY Regeln :
Ich habe mir quasi ein WAN gebaut indem ich einen Netz-Alias mit allen lokalen Netzen angelegt habe und dann in der Rule für die Destination ein Invert (!)dieser Lokale Netze benutze. Keine Ahnung ob dir das weiterhilft für mich war es so am einfachsten.
m.a.d
-
@coolTux
Dankeschön! Das Problem war tatsächlich die Porteinstellung. Habe nun etwas probiert und habe folgendes festgestellt:
Transparenter Proxy und statischer Proxy gleichzeitig funkioniert nicht.
Wenn Transparent, muss SSL auf einem anderen Port sein, wenn nicht, dann muss es der Gleiche sein.
Mache ich SSL injection, dann funktionieren die Bumps problemlos, die Webseiten, die ich "aufbreche" laden nicht korrekt (siehe screenshots) oder Firefox verweigert wegen der Sicherheit komplett die Verbindung[/li][/list]
Zum Thema ANY Regeln :
Ich habe mir quasi ein WAN gebaut indem ich einen Netz-Alias mit allen lokalen Netzen angelegt habe und dann in der Rule für die Destination ein Invert (!)dieser Lokale Netze benutze. Keine Ahnung ob dir das weiterhilft für mich war es so am einfachsten.
Danke dir, so hatte ich es auch im Kopf "gebastelt", wenn du ähnlich denkst, werde ich es so umsetzen :)
-
Wie ist Deine Einstellung für Transparent? Zeig mal bitte. Hast Du ein CA angegeben?
-
Hi,
Ca ist hinterlegt. Habe auch schon ein weiteres Zertifikat erstellt und probiert. Leider ohne Besserung.
Welche konfig möchtest du sehen?
Vg
-
Die von Generell Forward Settings
-
so siehts aus... eigentlich ganz normal
-
Sieht in der Tat OK aus.
Mach mal noch den 3. Haken in der Reihe rein, wird nicht das Problem lösen aber ich denke mal du willst nicht den ssl Verkehr komplett mit schneiden.
-
Das Subnetz ist auch erlaubt.
Eine HTTPS Webseite habe ich sogar gefunden, die etwas länger zum laden benötuigt, aber dann auch regulär angezeigt wird.
-
Sprich eine generelle Funktion des transparent Proxy ist gegeben? Also wenn Du keine Proxydaten im Browser hinterlegst kannst Du dennoch Seiten aufrufen?
Klappen denn HTTP Seiten schnell und zuverlässig? Wenn ja, was ist das für eine Kiste die Du da hast, man brauch ja auch bisschen Power oder Hardware acceleration.
-
Aufrufen ja, es erscheint jedoch bei HTTPS immer eine Warn oder Fehlermeldung. Je nach Ziel lässt sich diese im Firefox umgehen oder er sagt, es ist ein man in the middle.
Intelligenz von FF?
Bei der Masse an HTTPS Seiten wird diese jedoch wie im screenshot nicht korrekt wiedergegeben.
Läuft derzeit als Test noch auf einer Oracle VM Box auf einem i7 System
-
Power denke ich sollte reichen. Zeig mal bitte die Warnung vom Firefox als Screen.
-
hier die beiden verschiedenen Fehlermeldung, trotz gleicher Einstellung.
Übrigens, wenn der Haken bei SNI eingeschaltet ist, dann funktioniert es. Dann wird jedoch auch das reguläre Zertifikat verwendet.
Eine Untersuchung auf Viren etc. ist dann nicht möglich
-
Ah das hattest du glaube nur erwähnt das Du die Packet auf Viren untersuchen willst :)
Aber schon mal gut zu wissen daß es mit Haken geht.
Leider habe ich dann auch keine Idee weiter.
-
Kann eigentlich nur der ca geschuldet sein, oder?
Ich probiere Mal weiter.
Aber dir vielen Dank für deine Unterstützung, bin dadurch schon deutlich weiter gekommen. :)
-
Bitte hab ich gerne gemacht. Berichte dann mal bitte vom Ergebnis.
-
Du musst das CA-Zertifikat in Firefox importieren. Dann sollte es gehen.
-
OK, ich bin davon ausgegangen daß dies Standard ist. So habe ich nun nicht gedacht.
Aber jetzt wo Du es sagst würde das ein Sinn ergeben. Das rootCA muss unter Vertrauensstellen oder so hinzu gefügt werden.
-
Ja genau. AFAIK "Vertrauenswürdige Stammzertifizierungsstellen" unter Windows. OpenSSL store in Linux, I'm eigenen Store von Firefox, Java und was halt sonst noch so nen CA Store hat.
-
echt, ist dies ein MUSS? ich habe gedacht (ok mein Fehler ;) ) dass man dies, wie bei üblichen selbstsignierten Zerts mit einer Warnung bestätigen kann und dennoch zugreift.
Hier jedoch schein FF so intelligent zu sein, dass es einen vermeintlichen man-in-the-middle Angriff erkennt.
Wäre das Problem umgehbar, wenn man z.B. Lets Encrypt Zertifikate verwendet? Sofern dies überhaupt möglich ist.
[edit]
scheint ein ähnliches Fehlerbild gehabt zu haben:
https://forum.opnsense.org/index.php?topic=11008.0
-
Das größte Problem ist certificate pinning wo das Zertifikat z.B. in einer App gespeichert wird, dann geht die Seite grundsätzlich nicht. ZB Twitter oder Facebook, aber auch Spiegel und Süddeutsche Apps laden gar nicht, auch wenn du CA im Store hast. Das kann bei Firefox theoretisch auch irgendwann passieren, da er einen eigenen Store hat.
-
Puh, das wird ja richtig kompliziert.
Scheint also gar nicht so erstrebsam zu sein, den SSL Verkehr zu durchsuchen, weil die Hälfte am Ende nicht mehr funktioniert?!
-
Genau, deswegen machen die Kommerziellen jetzt auf encrypted traffic analyses .. also den ssl stream zu untersuchen. Da gibts auf im open source Umfeld aber nix ...