OPNsense Forum

International Forums => German - Deutsch => Topic started by: stefan21 on February 04, 2017, 03:00:22 pm

Title: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 04, 2017, 03:00:22 pm
Hallo,

ich bin Umsteiger vom IPCop und tue mich etwas schwer, die Logik von OPNsense zu verstehen.

Wie wird z. B. ausgehender Verkehr definiert? Müssen dazu nur Regeln für das LAN-Interface definiert werden? Oder auch für das WAN-Interface? Was genau macht Portforwarding, was genau ist Outbound, müssen dazu zusätzliche Regeln definiert werden? Usw.

In der Doku sind Fallbeispiele sehr gut erklärt. Was mir jedoch fehlt, ist eine Art Bedienungsanleitung, die die grundlegende Logik von OPNsense erklärt. Wenn man so will, OPNsense für Dummies. Gibt es so etwas?

Vielen Dank für jede Info.
stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: fabian on February 04, 2017, 03:38:08 pm
Ausgehend (OUT) ist standardmäßig alles erlaubt - gefiltert wird, was bei einer Schnittstelle hinein kommt (IN). Ausnahme: .Floating rules - da kann man das überschreiben!
OUT wird generell nur SNAT durchgeführt (außer du stellst was um) oder verwendest Floating rules, die da noch greifen.
DNAT wird ausgeführt, bevor die Filterregeln (IN) angewendet werden.
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: chemlud on February 04, 2017, 04:06:19 pm
Hi!

Einfachster Fall, 2 Interfaces:

WAN

LAN

Grundregel: sense überprüft jedes Paket, welches von einem Netz in ein anderes will, mit den Regeln für das Interface, wo es ANKOMMT. Pakete aus dem Inet: WAN interface-Regeln gelten (Standard: alles VERBOTEN), Pakete aus deinem Netzwerk: LAN-Regeln gelten (Standard alles erlaubt).

Grundregel: was nicht erlaubt ist, ist verboten (es gibt sozusagen eine unsichtbar DENY any any Regel). Daher bei den WAN Regeln steht nix, bei den LAN Regeln eine "ALLOW any any". Regeln werden VON OBEN NACH UNTEN in der Liste abgearbeitet, bis eine passende Regel (kann allow oder deny sein) gefunden ist, und entsprechend bearbeitet.

Folgendes vorgehen:

Schreibe ein paar einfache Regeln für's LAN und deaktiviere die ALLOW any any Regel:

(Geschmackssache: bei mir ganz oben: Deny any any IPv6, dann bleibt der ganze IP6 spam schon mal bei mir lokal und funkt nicht nach Hause)

Allow any any PORT 80

dann können alle Rechner im LAN mit HTTP in'S Netz


Dann machst du noch eine solche Regel für HTTPS und für eMail (SMTP, und was du für deinen Provider zum Abrufen brauchst, z.B. IMAPs).

Dann hast du schon mal viel Müll weggehauen, der aus deinem LAN einfach so nach Hause funkt. Wenn du willst, blockst du z.B. Windows Telemetry (machst ein Alias für bekannte MS-Server und eine Block-Regel dazu auf dem LAN-Interface).

Wenn es klagen gibt, dass Anwendung XYZ nicht geht, schaust du in deinem Firewall-Protokoll (Logging für die Default deny rule aktiviert!) und siehst, auf welchem Port das Programm raus in's Inet will. Dann kannst du den freigeben (auf LAN), wenn du willst ;-)

Fragen? :-)
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 04, 2017, 10:11:46 pm
@fabian und chemlud,

vielen Dank für die Info's.

Gut, ich habe die allow any Regel im LAN deaktiviert, und ein paar einfache Regeln definiert.

Im LAN sind 2 Server die jetzt keinen Datenverkehr mehr dem DNS der OPNsense haben. Port 53 ist ja nicht erlaubt. Verstehe ich richtig, dass ich eine Regel definieren muss, die als Quelle die 2 Server, und als Ziel die OPNsense, Quell- und Zielport jeweils 53 haben muss? Auch die Clients haben als DNS die OPNsense. Also auch für die eine Regel? Oder eine DNS-Regel für das LAN?
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: fabian on February 05, 2017, 08:38:24 am
würde auf lan folgende Regel erstellen

pass
protocol tcp/udp
from lan net:any
to self:dns

MfG

Fabian
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 05, 2017, 12:20:23 pm
Hallo Fabian,

vielen Dank für den Input.

Ich habe jetzt mal folgende Regel definiert:

1. einen Alias (lan_datenverkehr), in dem ich alle Ports für den internen LAN-Datenverkehr eingegeben habe. Darunter ist auch der Port 53 (DNS).

2. IPv4 TCP/UDP    LAN net    *    LAN net    lan_datenverkehr     *       Datenverkehr im LAN

Ist das so o.k.? Auf jeden Fall scheint es zu funktionieren.

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 05, 2017, 02:41:06 pm
Beim Einrichten eines WEB-Proxys bin ich auf eine Ungereimtheit gestossen:

https://docs.opnsense.org/manual/how-tos/cachingproxy.html

Weshalb soll eine https://docs.opnsense.org/manual/how-tos/cachingproxy.html#firewall-rule-no-proxy-bypass

Firewall Rule No Proxy Bypass für das https-Protokoll eingerichtet werden, wenn der SSL-Proxy in dem HOW-TO nicht aktiviert/eingerichtet wird?

Für den http-Port macht es ja Sinn... oder verstehe ich da was falsch?
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: fabian on February 05, 2017, 08:22:27 pm
Das passt schon so:

Wenn du mit einem HTTP-Proxy (explizit) raus willst, musst du bei anderen Protokollen mit CONNECT einen TCP-Tunnel anfordern.
Bei HTTPS baust du also eine HTTP-Verbindung zum Proxy auf und fragst ihn, ob er dich zum eigentlichen host auf Port 443 verbinden kann. Wenn er Ja sagt, kommt ein ganz normaler TLS-Handshake und die Verbindung ist (hoffentlich) Ende-zu-Ende (Dein Computer zu Webserver) verschlüsselt. Der Proxy kann in diesem Fall nicht mitlesen.
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 05, 2017, 09:22:16 pm
Hallo fabian,

danke für Deine Hilfe. Aber irgendetwas ist bei mir falsch bzw. funktioniert nicht. Die Regeln sehen wie folgt aus:

Achtung: Im Default ist im LAN nichts erlaubt.

1. Web Proxy --> Forward Proxy --> Enable Transparent HTTP proxy angekreuzt. Und dann Add a new firewall rule

2.) Der Automatismus hat folgende Regel angelegt:
Firewall: NAT: Port Forward
LAN    TCP    LAN net    *    *    80 (HTTP)    127.0.0.1    3128    redirect traffic to proxy

und

3.) Firewall: Rules --> LAN
IPv4 TCP    LAN net    *    127.0.0.1    3128    *       NAT redirect traffic to proxy    

Die Clients können weder mit dem http noch mit dem https Protokoll surfen. Die Firewall blockt den Port 3128.

Was mache ich da blosß falsch?



Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 05, 2017, 09:41:30 pm
Mit folgender Änderung funktioniert das Surfen sowohl auf http als auch auf https:

Firewall: NAT: Port Forward
LAN    TCP    LAN net    *    *    80 (HTTP)    192.168.XX.1    3128    redirect traffic to proxy

und

Firewall: Rules --> LAN
IPv4 TCP    LAN net    *    192.168.XX.1    3128    *       NAT redirect traffic to proxy

wird automatisch mit geändert. Ich habe die IP 127.0.0.1 mit der der Firewall ersetzt.

Ist das so o.k., und macht das Sinn?

Vor allem unter Berücksichtigung, dass beim Einrichten des FTP-Proxys https://forum.opnsense.org/index.php?topic=3868.0 die 127.0.0.1 eingetragen wird, und da funktioniert es mit der IP des localhost.



Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: monstermania on February 06, 2017, 08:24:10 am
Moin Stefan,
schau mal in den Fred rein: https://forum.opnsense.org/index.php?topic=4230.msg15666#msg15666
Da sind eigentlich schon sehr viele Fragen beantwortet worden.

Dann empfehle ich Jedem Einsteiger das folgende Tutorial: https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Da finden sich extrem viele nützliche Hinweise auch und gerade, was man generell so mit einer Firewall machen kann. Vieles davon lässt sich auch 1zu1 für die OPNSense umsetzen.

Gruß
Dirk
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 10:37:20 am
Hallo Dirk,

vielen Dank für den Input. Ich lese mir das durch.

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 10:48:09 am
So eine Gebrauchsanleitung fehlt leider wirklich für den Good Practice den wirklich der überwiegende Teil der OPNsense Nutzer zu Hause hat (vielleicht?). Wahrscheinlich sowas ähnliches wie hier:

[Internet] - VDSL2 Modem - [WAN] OPNsense
                                                          |             |
                                                      [LAN]     [WLAN]
                                                          |                |
                                        Clients mit oder         Access Point
                                        ohne VLAN Switch

Ich meine man findet sich schon zurecht irgendwie. Aber wenn man mit keinerlei Vorkenntnissen vorbei kommt,
kann ich mir vorstellen, dass das Übermaß an Optionen überwältigend sein kann. :)

Schöne Grüße,
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 11:02:56 am
Hallo Oxygen61,

ich habe den IPCop in der Firma durch die OPNsense ersetzt. Daher gibt es da noch ein wenig mehr Peripherie. WLAN nicht, aber wenn man restriktiv an die Sache herangeht, dann muss man erstmal lernen, was da so für Protokolle im LAN herum schwirren, und welche Ports zum Arbeiten tatsächlich benötigt werden.

Heute morgen habe ich z. B. gelernt, dass der Port 3000 sehr wichtig ist. Wenn ich erstmal alles verbiete, dann geht natürlich auch das Online-Banking nicht... Dann gibt es Netzwerkdrucker mit IPP, ClamAV auf mehreren Servern, die jetzt kein Update mehr hinter dem Proxy können, usw.

Tja, es gibt ja mittlerweile jede Menge Literatur im EDV-Bereich für Dummies. Ich würde sofort so ein kleines Büchlein kaufen.

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 12:01:34 pm
Hey stefan21,

(Weiß gerade nicht ob das hier schon gesagt wurde oder in einem anderen Thread) aber du kannst einfach ans Ende deines Regelwerks ein DENY ANY ANY setzen und das Loggen dieser Regel aktivieren. Schaust du dann bei "Log Files" beim "Firewall" Reiter nach und klickst dort auf die Kreuze kommen Meldungen hoch, die sagen welche Regel angewendet wurde. Steht da "DENY ANY ANY" weißt du, welche Protokolle durch die letzte Regel weggehascht werden. :)
Aber das hast du sicher eh schon gemerkt. :D

Ich glaube heutzutage hat das wirklich nichts mehr mit "dummies" zu tun.
Die Vielfalt der Möglichkeiten werden größer. Bezogen auf die Security, könnte man für jeden kleinen Aspekt zusätzlich zur eigentlichen Funktion noch ein Buch raus bringen.
Wer will die denn alle lesen? :P

Schöne Grüße,
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 12:40:28 pm
Hallo Oxygen61,

Quote
(Weiß gerade nicht ob das hier schon gesagt wurde oder in einem anderen Thread) aber du kannst einfach ans Ende deines Regelwerks ein DENY ANY ANY setzen und das Loggen dieser Regel aktivieren. Schaust du dann bei "Log Files" beim "Firewall" Reiter nach und klickst dort auf die Kreuze kommen Meldungen hoch, die sagen welche Regel angewendet wurde. Steht da "DENY ANY ANY" weißt du, welche Protokolle durch die letzte Regel weggehascht werden. :)
Aber das hast du sicher eh schon gemerkt. :D

Nein, wusste ich noch nicht, danke für den Tipp.

Allerdings ist bei meiner Version OPNsense 16.7.14_2-amd64, FreeBSD 10.3-RELEASE-p14, unter Firewall - Logfiles kein Reiter mit "Firewall". Ich kann auswählen zwischen Normal View, Dynamic View, Summary View und Plain View. Unter Normal View kann ich allerdings Filter setzen.

ABER: Bei meinem aktuellen Problem mit dem ClamAV-Update finde ich leider nicht eine einige IP der ClamAV-Mirror. Ich weiss nicht, was da falsch läuft. Müsste aber mit dem Web Proxy zusammenhängen. Wenn ich den ausschalte und die Regeln entsprechend deaktivierte und ändere, dann läuft das Update.

Quote
Wer will die denn alle lesen? :P
Na ja, stimmt schon. Es ist schon sehr komplex alles... Trotzdem hätte ich gerne so ein kleines Heftchen/Buch mit dem Grundsätzlichen der OPNsense. Ich bin seit 17 Jahren ein grosser Freund der SME Server. Dort gab es dann, nach Jahren allerdings, auch einen SME Server für Dummies. Find ich so schlecht nicht.

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 12:58:23 pm
Ich meinte den Haupt-Reiter "Firewall" unter "Interfaces" und "System".
Filter brauch man gar nicht setzen (natürlich abhängig von deinem Netz).
Geht ja in deinem Fall nur um die Blocks dieser Regel. Das sieht man da dann halt immer ganz schön bei "Dynamic View".

Was du natürlich einfach mal machen könntest wäre auf die neue Version zu Upgraden.
Bei 17.1 ist viel passiert und das kann das Problem vielleicht(?) beheben.
(Vorher das alte (16.7.14_2) Image bereit legen und die config.xml sichern)

OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.

Wegen dem Proxy Problem (oder ClamAV) kann ich dir aber leider sonst nich helfen, sorry! :(
Bist du dir aber sicher, dass du dem ClamAV beigebracht hast, dass er für das Updaten einen Proxy nutzen muss? (Also die OPNsense)?
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: monstermania on February 06, 2017, 01:41:34 pm
..was da so für Protokolle im LAN herum schwirren, und welche Ports zum Arbeiten tatsächlich benötigt werden.
Heute morgen habe ich z. B. gelernt, dass der Port 3000 sehr wichtig ist. Wenn ich erstmal alles verbiete, dann geht natürlich auch das Online-Banking nicht...
Hmm,
gibt es eigentlich keine 'Protokolle' die im LAN herumschwirren, sondern Dienste die auf einem Port kommunizieren bzw. lauschen.
Und ja, ein deaktivieren der ausgehenden Any2Any-Regel auf der Firewall bedeutet zunächst mal viel Arbeit. Aber eben auch ein erhöhtes Maß an Sicherheit! Sonst brauchst Du keine Firewall zu benutzen, sondern kannst auch  gleich eine Fritzbox nehmen.  :)
Und den Port 3000 würde ich auch nicht einfach so auf der FW freischalten, sondern ich würde eine Gruppe (Alias) erstellen. In diese Gruppe nimmst Du alle Rechner im Netz auf, die Banking überhaupt machen dürfen. Und ausschließlich für diese Gruppe wird der Port 3000 in der Firewall freigeschaltet!
Ja, dass klingt sehr aufwändig, aber nur dadurch weiß man genau, was welcher Rechner im Netz darf und was nicht.

Zu Deinem ClamAV-Problem fällt mir folgendes ein. Hast Du schon mal versucht die ClamAV-Updateserver in das Whitelisting des Proxy einzutragen?
Oder die IP-Adressen Deiner internen Server in die Liste der 'Unristricted IP adresses' (siehe Bild)?
So ein ähnliches Problem hatte wir hier in der Firma auch mal, als die Firewall die Updates für unseren GData-AV-Updates geblockt hatte.  ;)

Gruß
Dirk

 



Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: monstermania on February 06, 2017, 02:06:06 pm
OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.
Dokumentation ist leider ein generelles Problem, selbst bei kommerziellen Produkten!
Die Dokumentation unserer Firmen-Firewall hängt auch immer hinterher. Mit etwas Glück/Suche findet man die Lösung dann im Hersteller-Wiki oder im Hersteller-Forum.  ::)
Dokumentation kostet halt Zeit und damit Geld. Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein goßer Aufwand. Für ein Opensourceprojekt wird das dann noch viel schwieriger. Längst nicht jeder gute Programmierer schreibt auch verständliche Dokumentationen. ;D

Im Prinzip sind aber alle mir bekannten Firewalls ähnlich aufgebaut. Und wer das Grundprinzip verstanden hat, findet sich auch mit einem anderen Produkt schnell zurecht. Und die speziellen Anforderungen gehen dann schon wieder weit über das 'Dummy-Niveau' hinaus!
Nichtsdestotrotz würden sich die OPNSense-Entwickler mit Sicherheit darüber freuen, wenn sich freundliche Doku-Schreiber in der Community finden würden!  ;)
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 02:49:48 pm
Quote
Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein großer Aufwand.

DAS ist das eigentliche Problem denke ich. Eine Doku schreiben das lässt sich bewerkstelligen.
Ich habe so oder so vor eine Doku zu schreiben, sobald ich mein Heimnetz aufbaue.
*Wartet noch auf die Hardware*
Ich hätte kein Problem damit die, soweit ich es vertreten kann, dann auch öffentlich zu machen.
Die Basics würde ich dann damit also abdecken.
Jedoch würde ich mich nicht verpflichten diese dann immer aktuell zu halten,
wo wir wieder beim eigentlichen Problem wären. :P

Schöne Grüße
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 03:13:19 pm
@monstermania
Quote
Hmm,
gibt es eigentlich keine 'Protokolle' die im LAN herumschwirren, sondern Dienste die auf einem Port kommunizieren bzw. lauschen.

Korrekt, sorry da war ich nicht präzise.

Quote
Zu Deinem ClamAV-Problem fällt mir folgendes ein. Hast Du schon mal versucht die ClamAV-Updateserver in das Whitelisting des Proxy einzutragen?
Oder die IP-Adressen Deiner internen Server in die Liste der 'Unristricted IP adresses' (siehe Bild)?
So ein ähnliches Problem hatte wir hier in der Firma auch mal, als die Firewall die Updates für unseren GData-AV-Updates geblockt hatte.  ;)

Ich habe in der Unrestricted IP adress die beiden Server mit ihrer IP eingetragen, und in der Whitelist current.cvd.clamav.net, db.local.clamav.net und database.clamav.net.

@Oxygen
Den Proxy hatte ich schon einmal in der freshclam.conf auf dem Server eingetragen, hat aber leider nicht geholfen. Ich probiers nochmal mit dem anderen Server.

Quote
Was du natürlich einfach mal machen könntest wäre auf die neue Version zu Upgraden.
Bei 17.1 ist viel passiert und das kann das Problem vielleicht(?) beheben.

Ist das eine Stable-Version?

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 03:41:25 pm
Quote
Ist das eine Stable-Version?

Jep ist es. Ich für meinen Teil warte aber immer trotzdem gerne noch auf ein Update nach einem Upgrade.
Wenn ich Franco da richtig verstanden hatte, kommt das Update dann eh in den nächsten paar Wochen.
Also entweder mutig sein oder abwarten, aber Upgraden solltest du eh. Die 16.x ist EndofLife :)

Es ist halt immer wichtig auszuschließen, dass es nicht an der gerade genutzten Version liegt, wenn es denn noch Update Möglichkeiten gibt.

Quote
Den Proxy hatte ich schon einmal in der freshclam.conf auf dem Server eingetragen, hat aber leider nicht geholfen. Ich probiers nochmal mit dem anderen Server.

Du musst dem Server schon sagen, dass er einen Proxy nutzen muss anstatt der direkten Verbindung. Wie das bei ClamAV funktioniert... keine Ahnung.
Aber diese Fehlerquelle solltest du versuchen auszuschließen.
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 03:53:49 pm
Quote
Quote

    Ist das eine Stable-Version?


Jep ist es.

Okay. Update funktioniert wie? Ein Backup (xml-Datei) erstellen, DVD brennen, einlegen, Update auswählen? Oder erfolgt eine Neuinstallation und danach wird die xml-Datei importiert?

Online geht nicht, oder?

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 04:09:17 pm
Quote
Okay. Update funktioniert wie? Ein Backup (xml-Datei) erstellen, DVD brennen, einlegen, Update auswählen? Oder erfolgt eine Neuinstallation und danach wird die xml-Datei importiert?
Online geht nicht, oder?

Vorher hier einmal alles durchlesen und nachschauen was sich ändern wird:
https://opnsense.org/opnsense-17-1-released/
Besonders wichtig hierbei die Punkte die bei Migration Considerations stehen.

Generell sollte man davon ausgehen das etwas schief geht, bzw. schief gehen wird. Deshalb solltest du dir einen Fallback Plan überlegen. Da es für Fallbacks von einer Firmware Version zu einer älteren bei OPNsense noch kein vertrauenswürdiges Tool gibt, solltest du dir also die "alte" 16.x Firmware auf USB oder auf CD gebrannt vorbereiten, damit der Fallback im schlimmsten Fall wenigstens schnell funktioniert.
Die Config.xml unter System> Configuration> Backups auch noch ebenfalls abspeichern.
Vorher ganz wichtig! check for updates auswählen in der GUI und falls noch kleinere Update Patches da sind diese vorher noch installieren.
Bei dem Firmwareupgrade auf 17.1 wurde vom OPNsense Team empfohlen eine Neuinstallation durchzuführen und dann nur wieder die abgespeicherte Config.xml einzupflegen.

Bist du Faul oder hattest keine Zeit (so wie ich  ::) ) kann das Upgrade auch über die Konsole durchgeführt werden. Also an die Konsole ranstecken (oder SSH nutzen, das funktioniert glücklicherweise auch!) und dann "12" drücken. Wenn er dich fragt was du machen willst, schreibst du bei den drei Auswahlmöglichkeiten (17.1/Y/N/) "17.1" in die Zeile und bestätigst mit Enter.
Die OPNsense Kiste wird dann 2-3 mal Neustarten beim Upgraden (Bei mir dauerte es ungefähr 10 Minuten).

Danach schaust du ob alle Einstellungen das Upgrade überlebt haben und das wars dann auch schon. :)

Schöne Grüße
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 04:35:15 pm
Hallo Oxygen,

Quote
Bist du Faul oder hattest keine Zeit (so wie ich  ::) ) kann das Upgrade auch über die Konsole durchgeführt werden. Also an die Konsole ranstecken (oder SSH nutzen, das funktioniert glücklicherweise auch!) und dann "12" drücken. Wenn er dich fragt was du machen willst, schreibst du bei den drei Auswahlmöglichkeiten (17.1/Y/N/) "17.1" in die Zeile und bestätigst mit Enter.

Ich bin so faul wie Du, und werd's per ssh probieren  ;D.

Schönen Dank nochmals für die Unterstützung.
stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 06, 2017, 04:48:40 pm
Hehe, bei mir ging alles glatt mit SSH. 8)
Wenn du dir im Klaren bist, was bei Migration Considerations alles stand und bedacht werden muss,
wird alles gut gehen. ;)

Kein Problem und immer wieder gerne. :P

Schöne Grüße
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 06, 2017, 09:22:54 pm
Der Wille war da - lief auch fast durch.

ABER: kein OpenVPN mehr. Macht so keinen Sinn.

Habe mich hier mal etwas informiert https://forum.opnsense.org/index.php?board=23.0

Wenn man das alles so durchliest, dann würde ich sagen - weit weg von Stable. Da warte ich lieber mal noch eine Weile ab. Heisst für mich - zurück auf 16.7. Nix für ungut...

stefan
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 07, 2017, 08:08:20 am
Hey hey,

deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache. :)
Bei mir ist halt nur der Einsatz von Captive Portal wichtig gewesen und ein paar kleine vereinzelte Sachen, die ich mal per Konsole eingerichtet hatte, die laut Patchnotes aber nicht angefasst wurden.
Von daher war das für mich kein Thema. :)

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen. ;D

Ich hoffe du hattest dir für den Fallback was vorbereitet. :)

Schöne Grüße
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: stefan21 on February 07, 2017, 09:15:20 am
Kein Problem, easy. War schnell erledigt :D

stefan

Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: monstermania on February 07, 2017, 09:31:47 am
deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache. :)

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen. ;D
Ich warte auch immer ein Update ab! ;)
Hat aber nichts mit OpenSource oder so zu tun, sondern ist einfach ein Erfahrungswert, den ich in über 20 Jahren IT gemacht habe!
Trifft leider auf alle Hersteller zu, dass ich zunächst auf das 1. Update/SP warte um Software zu installieren. Ich habe zwar auch schon meine 17.1 Image zu Hause, aber ich warte auch noch 1-2 Updates ab. Die 16.7.14 läuft bei mir absolut problemlos.
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 07, 2017, 09:40:12 am
Quote
Ich warte auch immer ein Update ab! ;)
Hat aber nichts mit OpenSource oder so zu tun, sondern ist einfach ein Erfahrungswert, den ich in über 20 Jahren IT gemacht habe!
Trifft leider auf alle Hersteller zu, dass ich zunächst auf das 1. Update/SP warte um Software zu installieren. Ich habe zwar auch schon meine 17.1 Image zu Hause, aber ich warte auch noch 1-2 Updates ab. Die 16.7.14 läuft bei mir absolut problemlos.

Meine Aussage mit dem Open-Source bezog sich nur darauf, dass die "Community" mithelfen muss, damit der Change auf eine neue Firmwareversion so reibungslos wie möglich verläuft.  ;D
Das man anhand von Erfahrungswerten gesehen meistens trotzdem noch 1-2 Updates abwarten sollte ist ja jedem selber überlassen.
Je nachdem wie hoch der Aufwand wäre um alles wieder ins Lot zu bringen und abhängig davon was für eine "monströse" Netzwerkkonfiguration man da am laufen hat, muss jeder selber für sich entscheiden ob es einem das Risiko wert ist.

Von daher... No risk no fun. Haha  8)

Schöne Grüße
Oxy
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: monstermania on February 07, 2017, 09:59:40 am
Von daher... No risk no fun. Haha  8)
In meiner Umgebung wäre aber eine nicht laufende Firewall ein High-Risk für mich!!!
Du kennst meine Frau nicht!  ;D ;D ;D
Title: Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense
Post by: Oxygen61 on February 07, 2017, 10:18:33 am
Von daher... No risk no fun. Haha  8)
In meiner Umgebung wäre aber eine nicht laufende Firewall ein High-Risk für mich!!!
Du kennst meine Frau nicht!  ;D ;D ;D

Ein Fall von "High Risk without any fun" sozusagen.  :'(

Mehr als ne halbe Stunde Zeit "schenkt" man mir aber auch nie um alles wieder in den Griff zu kriegen.
Alles muss funktionieren und schnell sein. Alles muss sicher sein, ohne zusätzlichen Aufwand. Die Hardware Geräte müssen verstecke Spielen und das "Internet" (was auch immer das in diesem Anwendungsfall heißt) muss IMMER erreichbar sein.
Zum krönenden Abschluss muss sich das Netzwerk "von selbst verwalten" können.

Wenn die OPNsense dafür irgendwann mal Tools entwickeln sollte bezahle ich auch freiwillig mit allem was ich besitze. :D  ;D