OPNsense Forum
International Forums => German - Deutsch => Topic started by: W0nderW0lf on September 14, 2020, 10:00:10 pm
-
Moinsen,
eine Frage an die Community. Was tun, wenn OPNsense bei der Geschwindigkeit der Bottleneck ist?
Ich hätte über meine Fritzbox 6591 zwischen 80-95 MBit/s. Über OPNsense erreiche ich nicht mal 200.
Der Schnitt liegt bei 10-18MBit/s Also gerade mal fast 20% der möglichen Geschwindigkeit.
Mein Netz:
WAN / Internet
:
: Cable Fritzbox 6591 1Gbit
:
.-----+-----.
| Gateway |
'-----+-----'
| 192.168.178.1/24
| + -------------------- TV + Firmen Notebook
WAN |
|
.-----:-------.
| OPN:sense +-------.
| | | |
'-----:-------' |
| | Multimedia 192.168.50.1/25
|
LAN | MGMT 192.168.1.1/25
|
...-----+------... (Clients/Servers)
Aufgefallen ist mir die lahme Verbindung erst als ich den Web-Proxy eingeschaltet hab. Ich wollte Seiten einfach filtern und bei YouTube hat alles immer unglaublich lange gedauert. Generell hat das laden auf fast allen Seiten lange gedauert. Mit dem Proxy habe ich maximal 6MBit/s erreicht. Ich habe aber keine anderen Clients oder Server zu der Zeit im Betrieb gehabt. Somit kann ich schon mal ausschließen, dass andere Geräte die Bandbreite für sich beanspruchen. Wenn ich den Proxy abschalte, erreiche ich die oben angegeben 10-18.
Checkliste OPNsense:
- Die Intel J1900 CPU liegt im Schnitt unter 20%
- 8GB RAM zwischen 50 und 70%
- 4x 1GBit Intel NIC
- Auf der Fritzbox hat OPNsense ebenfalls 1Gbit zur Verfügung
- Config:
- Dynamisches DNS
- Suricata (WAN)
- Sensei (LAN)
- Maltrail
- Unbound DNS mit DoT
- OpenDNS filter
- IPv6 unterstützung mit IPv4 bevorzugt
- NAT Portforwarding Port 53 von LAN zu OPNsense
- Keine Firewall rule die sich auf die Geschwindigkeit auswirken könnte
- Alle Interfaces haben 1000T Base Full Duplex
- MTU 1500 (Default)
- Die Kabel sind CAT6
Weiß leider nicht was ich sonst noch checken könnte.
Danke vorab für jede Hilfe!
Grüße
-WW
-
Stückweise die Sachen wegnehmen zum Debuggen, die die Kiste verlangsamen oder gleich einfach mal mit Standard Regeln/nach Installation testen.
Proxy weg,
IDS weg,
IPv6 weg
und dann stückweise nachschauen, WAS sich wie auswirkt. Die J1900 ist jetzt auch nicht die super-duper CPU mit Knaller Performance, ist so alt, dass sie nichtmal ein AES-NI Set hat und muss man auch mit im Auge behalten. "Im Schnitt unter 20%" kann auch heißen, dass sie trotzdem im Moment wenn du deine Geschwindigkeit testest ziemlich zu knabbern hat und danach wieder droppt.
Aber ein vollgestecktes System mit vielen Diensten Performance testen ohne vorher mal ein "nacktes" frischinstalliertes ohne Plugins, ist eher unpraktisch. So hat man keinen Vergleich vorher zu nachher. :)
Cheers
\jens
-
Hi und danke!
Ich gucks mir morgen mal in aller ruhe mal an. Ich mach die am besten morgen mal Platt und füge mal die Dienste stück für stück wieder ein und teste.
Ich geb Feedback sobald ich schlauer bin! :)
-
Ich gebe JeGr mit der verwendeten Hardware recht, die CPU ist heute nicht der bringer (wie lange hast du die Hardware schon?)
Bei der eingesetzten Hardware würde ich ausfalle suricata weg lassen (belastet wahrscheinlich die CPU). Kannst du mal Hersteller und Model nennen, nach meinem Wissen wird mit der CPU auch gerne Realtek NIC verbaut (da hast du aber Glück das bei dir Intel verbaut ist)
Was für eine Internet Bandbreite hast du den bestellt/sollst du bekommen?
Gesendet von iPhone mit Tapatalk Pro
-
Sodele... hab jetzt mal getestet und mit Werkseinstellung ohne konfigurierte Plugins erhalte ich über OPNsense die volle Bandbreite.
Sobald ich aber über suricata die ET Telemetry und Snort rules aktiviere und runterlade, schraubt sich die Geschwindigkeit auf 30% runter.
Meine Hardware habe ich aus dem "guten" alten China Land über Ali express bezogen. Hersteller heißt XCY. Ziemlich Noname und der Support für BIOS ist auch nicht existent. Bei 4x1,99 GHz dachte ich mir, da könnte nicht viel schief gehen. Es gibt leider auch kein Produktblatt mit den Technischen details zu den Kompenenten. Aber da mit Intel beworben wurde, gehe ich auch von Intel NIC's aus.
Da Suricata hier die Wurzel allen übels ist, stellt sich die Frage, brauche ich ein neues Gerät mit besserer CPU, oder kann ich Suricata mehr CPU Power zuteilen?
-
1. welche bandbreite?
2. brauchst du zwingend suricata?
3. wenn bei 2. ja. dann benötigst du eine bessere hardware, um abzuschätzen welche, währe spannend was du bei 1. antwortest. ich habe auch meine systeme bei aliexpress gekauft, suche einfach mal nach meinem system3, das könnte bei dir reichen. (suricata braucht auch etwas mehr ram)
-
1. welche bandbreite?
Ohne Suricata ~ 90MB (Also mehr oder weniger fast meine ganze Glasfaser Geschwindikeit von Vodafone)
Mit Suricata ~30MB
2. brauchst du zwingend suricata?
Also ich entdecke regelmäßig Angriffsversuche aus dem Internet. Sensei vertraue ich da noch nicht so ganz. Sensei ist gut für die LAN seite. Da entdecke ich auch einiges das von meinen Clients raus geht. Würde das die Sicherheit in meinem Netz nicht verschlechtern, wenn ich Suricata einfach weg lasse?
3. wenn bei 2. ja. dann benötigst du eine bessere hardware, um abzuschätzen welche, währe spannend was du bei 1. antwortest. ich habe auch meine systeme bei aliexpress gekauft, suche einfach mal nach meinem system3, das könnte bei dir reichen. (suricata braucht auch etwas mehr ram)
[/quote]
Ist für mich halt ach eine Finanzielle Frage. Die 200€ habe ich noch ausm Arm schütteln können. Ich müsste nen abnehmer für die Kiste finden und noch etwas drauf legen, dann könnte das auch klappen.
-
zu 1. wollte ich wissen was du bei deinem provider genau gebucht hast (und bekommen sollst)
also, meine Core i7 hatte ich damals recht günstig bekommen (ich glaube das waren 450€ ohne ram und ssd).
-
@W0nderW0lf
Ich würde mal auf suricata und sensei tippen!
Ehrlicherweise sehe ich in einem 08/15 Heimnetz nicht so recht den Nutzen von IDS/IPS (suricata) oder sensei. In meinem Heimnetz weiß ich ja, welche Geräte/User ich im Netzwerk habe.
In einem Unternehmen mit 100ten Usern und Devices sieht es natürlich Anders aus.
Ansonsten sehe ich nix, was Deine HW ans Limit bringen sollte. Ich lasse OPNsense auf einem alten D525 Atom laufen und komme auch mit aktivem Proxy auf die 100Mbit WAN Speed meines Internetanbieters.
@micneu
Hast Du ein Trauma seit der Nutzung von Realtek NIC!? ;)
Ich habe seit Jahren unterschiedliche OPNsense-Installationen mit Realtek HW vollkommen problemlos genutzt. Laufen absolut stabil. Hatte auch noch nie ein Flaschenhals durch die Realtek NIC.
-
> Meine Hardware habe ich aus dem "guten" alten China Land über Ali express bezogen. Hersteller heißt XCY. Ziemlich Noname und der Support für BIOS ist auch nicht existent. Bei 4x1,99 GHz dachte ich mir, da könnte nicht viel schief gehen. Es gibt leider auch kein Produktblatt mit den Technischen details zu den Kompenenten. Aber da mit Intel beworben wurde, gehe ich auch von Intel NIC's aus.
Wo du die HW her hast, ist eigentlich irrelevant. Die J1900 sind ja überall verkauft worden. Aber die letzten 3-4 Jahre hab ich keine neuen Boxen mehr mit dem alten Chipsatz gesehen, darum die Frage und auch die Intention von Mic, ob das neue HW ist die du gekauft hast - dann hoffentlich spottbillig! - oder wie lang du die schon hast, denn das Ding ist nicht mal ansatzweise mehr SOTA (state of the art). Boxen mit der alten Celeron Gurke haben wir schon vor 4 Jahren aussortiert, weil die für Routing Einsatz echt mies war. Und heute sind Angaben wie 4x2GHz komplett sinnfrei weil du daran keine Performance festmachen kannst. Es sind 4 Kerne aber wie schnell die sind hängt stark von der Generation, der Bauweise und Interna wie Caches ab. Da kannst du heute einen i3 mit 1,6GHz nehmen und der dreht mit 2 Kernen trotzdem Kreise um die alte Kiste ;) Zudem das eben eine tumbe Desktop CPU ist die nichtmal Basics wie AES-NI beherrscht!
Daher: 200€ für die alte Gurke (hoffentlich ist das schon länger her) ist eigentlich zu viel - zumindest als Routing Board. Als Desktop macht die vllt. irgendwas noch recht nettes :) Aber für 200€ bzw. für ein wenig mehr, bekommst du aktuell definitiv besseren Kram der auch läuft und nicht nur so tut als ob :D
Und wenn du nur 100-120Mbps hast, wäre selbst (*knirsch* ich mags fast nicht sagen) eine APU2 noch kräftig genug um ein wenig rumzufiltern. ;)
@monstermania
Realtek NICs sollten bitte alle verbrannt und ausgeräuchert werden >:( ARGH. Mir kam vor kurzem erst wieder eine unter die das Routing total versaut hat. Schön dass du noch nicht drübergefallen bist, aber die Dinger sind der letzte Murks.
-
zu 1. wollte ich wissen was du bei deinem provider genau gebucht hast (und bekommen sollst)
also, meine Core i7 hatte ich damals recht günstig bekommen (ich glaube das waren 450€ ohne ram und ssd).
1Gbit und ich komm da auch zu 90% ran@W0nderW0lf
Ich würde mal auf suricata und sensei tippen!
Ehrlicherweise sehe ich in einem 08/15 Heimnetz nicht so recht den Nutzen von IDS/IPS (suricata) oder sensei. In meinem Heimnetz weiß ich ja, welche Geräte/User ich im Netzwerk habe.
In einem Unternehmen mit 100ten Usern und Devices sieht es natürlich Anders aus.
Wie bereits erwähnt, sehe ich regelmäßig Angriffsversuche und denke mir eben, wenn ich es abschalten würde, hätten die doch ein leichtes Spiel, oder nicht?
Daher: 200€ für die alte Gurke (hoffentlich ist das schon länger her) ist eigentlich zu viel - zumindest als Routing Board. Als Desktop macht die vllt. irgendwas noch recht nettes :) Aber für 200€ bzw. für ein wenig mehr, bekommst du aktuell definitiv besseren Kram der auch läuft und nicht nur so tut als ob :D
Und wenn du nur 100-120Mbps hast, wäre selbst (*knirsch* ich mags fast nicht sagen) eine APU2 noch kräftig genug um ein wenig rumzufiltern. ;)
Ich habe um die 180€ dafür vor 2 Jahren gezahlt.
-
Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)
Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...
-
Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)
Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...
Ich habe keine Ports nach draußen offen. Sollte Suricata oder Sensei, aber auch nicht machen, oder?
Ich verwende Sensei z.B. gerne um mich dieser ganzen fiesen Ad's zu entledigen die man mit dem Windows Defender jetzt nicht wirklich los wird. Generell möchte ich die Kommunikation von Windows einschränken. Z.B. macht Windows im Hintergrund ständig zeug ohne meine Erlaubnis, wie z.B. nach Android Geräten suchen, oder telemetrie an Microsoft übermitteln. Wie ich sowas sinnvoll in Firewall Regeln verpacke, weiß ich leider auch nicht so richtig.
Ich frage mich auch, wie würde ich denn einen Einbrecher erkennen, wenn IPS/IDS nicht mehr im Dienst wären? Die Firewall verfolgt ja nur strikt ihre Regeln, gibt aber keine Meldungen, wenn eingebrochen wurde und merken tut man das doch auch erst dann wenn es bereits zu spät ist?
Ich habe die Firewall zwar schon eine Weile, aber ich befinde mich noch immer im Anfangsstadium des Lernprozesses.
-
Ich habe um die 180€ dafür vor 2 Jahren gezahlt.
hmmm, ich würde sagen einfach was ordentliches neukaufen. und du hast einen 1GBit UP/DOWN? bei welchem provider, wo bekomme ich sowas für zuhause, will auch haben?
-
Also ick lese da
Ohne Suricata ~ 90MB (Also mehr oder weniger fast meine ganze Glasfaser Geschwindikeit von Vodafone)
Mit Suricata ~30MB
;-)
Wenn du IDS/IPS und Sensei betreiben willst, würde ich etwas bessere Hardware in Erwägung ziehen. MS die Telemetrie abgewöhnen kann man mit Blocklisten probieren, ist aber eine Hase-Igel-Spiel und bei Win10 wird es wohl auch nicht mehr funktionieren. Probier doch mal die Win10-Kisten in ein eigenes Netz zu stecken und unterbinde allen Verkehr raus. Viel Glück! ;-)
-
oder kein windows nutzen :)
-
Dann kann ich aber nix mehr zocken ;D
-
Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)
Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...
Schön geschrieben!
Schlechter Vergleich dazu @W0nderW0lf: Du lässt dir erst ne Straßenanbindung an die Schnellstraße bauen (dein INet Zugang), setzt dich dann draußen hin und schaust zu wieviel Verkehr und böse Buben sich da auf der AB tummeln (oder zumindest auf deinem Streckenabschnitt des Providers). Die biegen nicht mal zu dir ab (weil kein offener Port) und wenn ist es nur der Postbote (bpsw. VPN frei), aber was da draußen an Idioten rumfährt! Mein Gott! :D
Manchmal ist "zuschauen" eben auch sinnlose Panik bekommen vor nichts und wieder nichts ;) Internet "Grundrauschen" hast du heute an jedem Anschluß und wird auch nicht weniger. Nur sehen es die meisten Leute nicht, weil ihre 0815 Box das eben nicht zeigt - ansonsten würden die ja alle durchdrehen ^^
-
Schlechter Vergleich dazu @W0nderW0lf: Du lässt dir erst ne Straßenanbindung an die Schnellstraße bauen (dein INet Zugang), setzt dich dann draußen hin und schaust zu wieviel Verkehr und böse Buben sich da auf der AB tummeln (oder zumindest auf deinem Streckenabschnitt des Providers). Die biegen nicht mal zu dir ab (weil kein offener Port) und wenn ist es nur der Postbote (bpsw. VPN frei), aber was da draußen an Idioten rumfährt! Mein Gott! :D
Manchmal ist "zuschauen" eben auch sinnlose Panik bekommen vor nichts und wieder nichts ;) Internet "Grundrauschen" hast du heute an jedem Anschluß und wird auch nicht weniger. Nur sehen es die meisten Leute nicht, weil ihre 0815 Box das eben nicht zeigt - ansonsten würden die ja alle durchdrehen ^^
Witziger vergleich.. ^^ Aber meine vorhergehende Frage wurde damit noch immer nicht beantwortet. Deswegen werde ich das nun ähnlich darstellen wie du. Wenn ich sehe dass auf der Autobahn die apokalypse ausgebrochen ist und mich dazu entscheide die Jalousie runter zu fahren und meine Ohren in die Schublade zu legen, wie bekomme ich dann mit, wenn ein Dämon die Haustür auf macht?
Ich frage ganz dumm, weil mir vorgestern was merkwürdiges passiert ist, dass das DNS in meinem Netzwerk angriff. Ursache dafür war, dass ich nicht die alte config von vor meiner Neuinstallation wiederhergestellt habe, sondern meine Firewall quasi von Grund auf neu konfiguriert habe mit fast den gleichen Regeln.
Am Abend ist dann folgendes passiert:
Windows hochgefahren, bei der Anmeldung schon gewundert, dass kein Netzwerk angeblich vorhanden ist. Beim Testen hatte ich aber normal internet. Parallel dazu hatte ich meine Linux Kiste eingeschaltet und konnte nicht über ssh auf OPNsense zugreifen. In den Logs von Unbound hatte ich dann gesehen, dass mein Windows eine Domain "uk.com" innerhalb unbounds registriert hat.
Leider habe ich das Log nicht vollständig gebackupt...
Kurzer Einblick ->
2020-09-16T21:47:32 suricata[66437] [Drop] [1:2029994:1] ET INFO Suspicious NULL DNS Request [Classification: Misc activity] [Priority: 3] {UDP} 192.168.5.3:45800 -> 192.168.5.1:53
2020-09-16T21:47:32 suricata[66437] {"timestamp": "2020-09-16T21:47:32.448494+0200", "flow_id": 1781564980910062, "in_iface": "igb0^", "event_type": "alert", "src_ip": "192.168.5.3", "src_port": 45800, "dest_ip": "192.168.5.1", "dest_port": 53, "proto": "UDP", "alert": {"action": "blocked", "gid": 1, "signature_id": 2029994, "rev": 1, "signature": "ET INFO Suspicious NULL DNS Request", "category": "Misc activity", "severity": 3, "metadata": {"updated_at": ["2020_04_22"], "signature_severity": ["Informational"], "deployment": ["Perimeter"], "created_at": ["2020_04_22"], "attack_target": ["DNS_Server"], "affected_product": ["Windows_XP_Vista_7_8_10_Server_32_64_Bit"]}}, "dns": {"query": [{"type": "query", "id": 24554, "rrname": "_probe.uk.net", "rrtype": "NULL", "tx_id": 0}]}, "app_proto": "dns", "flow": {"pkts_toserver": 1, "pkts_toclient": 0, "bytes_toserver": 84, "bytes_toclient": 0, "start": "2020-09-16T21:47:32.448494+0200"}}
020-09-16T21:32:11 suricata[20011] [Drop] [1:2019512:3] ET POLICY Possible IP Check api.ipify.org [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 146.112.61.104:443 -> 192.168.178.22:47162
2020-09-16T21:32:11 suricata[20011] {"timestamp": "2020-09-16T21:32:11.803272+0200", "flow_id": 1838494712009307, "in_iface": "igb0", "event_type": "alert", "src_ip": "146.112.61.104", "src_port": 443, "dest_ip": "192.168.178.22", "dest_port": 47162, "proto": "TCP", "tx_id": 0, "alert": {"action": "blocked", "gid": 1, "signature_id": 2019512, "rev": 3, "signature": "ET POLICY Possible IP Check api.ipify.org", "category": "Potential Corporate Privacy Violation", "severity": 1, "metadata": {"updated_at": ["2020_08_20"], "created_at": ["2014_10_27"]}}, "tls": {"subject": "C=US, ST=California, L=San Francisco, O=OpenDNS, Inc., CN=api.ipify.org", "issuerdn": "O=Cisco, CN=Cisco Umbrella Secondary SubCA fra-SG", "serial": "5F:62:62:D8", "fingerprint": "99:aa:65:c1:36:10:0b:cb:30:60:6a:e0:5d:da:ad:45:30:b1:57:ea", "sni": "api.ipify.org", "version": "TLS 1.2", "notbefore": "2020-09-14T19:02:18", "notafter": "2020-09-19T19:02:18", "ja3": {"hash": "49e76101e93ff7ad65a47925a25c2cff", "string": "771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-22-23-13-43-45-51-21,29-23-30-25-24,0-1-2"}, "ja3s": {"hash": "4408e3e8f843eb342875319a6e015e93", "string": "771,157,0-65281"}}, "app_proto": "tls", "flow": {"pkts_toserver": 4, "pkts_toclient": 5, "bytes_toserver": 789, "bytes_toclient": 3595, "start": "2020-09-16T21:32:11.725595+0200"}}
2020-09-16T21:27:04 suricata[20011] [Drop] [1:2012692:6] ET POLICY Microsoft user-agent automated process response to automated request [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 92.123.229.216:80 -> 192.168.178.22:50617
2020-09-16T21:27:04 suricata[20011] {"timestamp": "2020-09-16T21:27:04.016188+0200", "flow_id": 67067642884544, "in_iface": "igb0", "event_type": "alert", "src_ip": "92.123.229.216", "src_port": 80, "dest_ip": "192.168.178.22", "dest_port": 50617, "proto": "TCP", "alert": {"action": "blocked", "gid": 1, "signature_id": 2012692, "rev": 6, "signature": "ET POLICY Microsoft user-agent automated process response to automated request", "category": "A Network Trojan was Detected", "severity": 1, "metadata": {"updated_at": ["2011_04_19"], "created_at": ["2011_04_19"]}}, "http": {"hostname": "www.microsoft.com", "url": "/", "http_user_agent": "Microsoft Windows Network Diagnostics", "http_content_type": "text/html", "http_method": "GET", "protocol": "HTTP/1.1", "status": 200, "length": 1020}, "app_proto": "http", "flow": {"pkts_toserver": 3, "pkts_toclient": 3, "bytes_toserver": 292, "bytes_toclient": 1474, "start": "2020-09-16T21:27:03.963008+0200"}}
Unbound
(192.168.5.3 ist der Linux Client der die neue böse Domain auflöst)
2020-09-16T22:08:06 unbound[18654] [18654:2] info: resolving _probe.uk.uk. A IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: validate(nxdomain): sec_status_insecure
2020-09-16T22:08:06 unbound[18654] [18654:2] info: validated DNSKEY uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: query response was ANSWER
2020-09-16T22:08:06 unbound[18654] [18654:2] info: reply from <.> 1.0.0.1#853
2020-09-16T22:08:06 unbound[18654] [18654:2] info: response for uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: 192.168.5.3 uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: 192.168.5.3 uk. DS IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: validate(nxdomain): sec_status_insecure
2020-09-16T22:08:06 unbound[18654] [18654:3] info: validated DNSKEY uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: query response was ANSWER
2020-09-16T22:08:06 unbound[18654] [18654:3] info: reply from <.> 1.1.1.1#853
2020-09-16T22:08:06 unbound[18654] [18654:3] info: response for uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: resolving uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: validated DS uk. DS IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: query response was NXDOMAIN ANSWER
2020-09-16T22:08:06 unbound[18654] [18654:2] info: reply from <.> 1.0.0.1#853
2020-09-16T22:08:06 unbound[18654] [18654:2] info: response for _probe.uk.uk. AAAA IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: resolving uk. DNSKEY IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: validated DS uk. DS IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: query response was NXDOMAIN ANSWER
2020-09-16T22:08:06 unbound[18654] [18654:3] info: reply from <.> 1.1.1.1#853
2020-09-16T22:08:06 unbound[18654] [18654:3] info: response for _probe.uk.uk. A IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: resolving _probe.uk.uk. A IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: resolving _probe.uk.uk. AAAA IN
2020-09-16T22:08:06 unbound[18654] [18654:3] info: 192.168.5.3 _probe.uk.uk. A IN
2020-09-16T22:08:06 unbound[18654] [18654:2] info: 192.168.5.3 _probe.uk.uk. AAAA IN
2 Fehler sind mir bei meiner configuration aufgefallen.
1. Durch das wiederherstellen von ausschließlich unbound DNS über ein Backup, wird nur die Allgemeine Konfiguration wiederhergestellt und nicht die zusätzlichen Einstellungen wie Blacklists mit URL's, sowie Verschiedenes > DoT Server.
2. Habe ich bei meiner DNS Portweiterleitung ein entscheidendes Detail vergessen: TCP/UDP zu setzen statt nur TCP
Lösung war 1. Windows Client vom Netz trennen und 2. OPNsense platt machen und alte config wiederherstellen.
Und da frage ich mich halt ... wäre ich ohne Suricata trotzdem besser dran gewesen?
-
Was schließe ich aus deiner Erfahrung, gut das ich kein Windows einsetze ;)
Gesendet von iPhone mit Tapatalk Pro
-
What? Sorry ich seh in den Logs weder einen Angriff noch sonst irgendwas von außen. Ich sehe nur einen "Null DNS Request" - warum auch immer - und einen angeblichen Trojanerfund auf dem Client. Was IMHO nichts mit der Firewall zu tun hat und nichts von außen. Was hat das also mit dem Thema zu tun, dass - wenn ich eh alles von außen blocke - mir nicht noch zusätzlich Kram VPN AUSSEN anschauen muss?
Wenn mein Client infiziert ist, kommt die Attacke von innen. Nicht von außen. Das war alles, was die anderen Kollegen hier geschrieben haben. Und dein Daemon Vergleich hinkt, weil von AUSSEN alles Default GEBLOCKT ist. Also ist da keine Tür, wo irgendwer einfach reinkommen kann. Außer du machst welche auf.