OPNsense Forum

International Forums => German - Deutsch => Topic started by: Thargor on September 22, 2017, 10:22:38 am

Title: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: Thargor on September 22, 2017, 10:22:38 am
Hallo

bin schon seit einiger Zeit hier im Forum unterwegs und lese auch hin und wieder mal mit.

Zur Zeit nutze ich noch einen IPCop v2.1.9, aber aufgrund mangelnder Weiterentwicklung habe ich mich nach einer  anderen Hardware FW umgeschaut.

Gefunden habe ich OPNSense  :)  Das hatte ich vor einiger Zeit auch erfolgreich auf einem PC Engine APU 1D4 installiert. Hab die FW dann lange Zeit einfach nicht weiter betrieben.
Nun hab ich das Teil erstmal wieder hervorgeholt und die ganzen Updates durchgezogen, was auch alles perfekt geklappt hat! Bin nun Uptodate :-)

Hab in der FW auch noch einen WLAN AP installiert


Da ich daheim aber nun einen UM Business Anschluß bekommen habe und ich im gleich Zug meine Haussteuerung von Mitsubishi auf Siemens S7-1200 umstellen will, ist die OPNSene FW wieder sehr interessant für mich geworden.

IST Zustand:

UM Business ----> FB 6490 Cable ----> LAN 4 der FB -----> IPCop -----> Netgear Switch GS716T
                                                   |
                                                   |--> LAN 3 (exposed Host)der FB -----> OPNSense3 als Testebene z.Zt. über WLAN erreichbar


SOLL Zustand:

UM Business ----> FB 6490 Cable ----> LAN 4 (exposed Host) der FB -----> OPNSense-----> Netgear Switch GS716T               
                           |                                                                                |                             |     
                           | ---> Gast WLAN                                                        |----> Heim WLAN    |---> VLAN 1 Heim
                                                                                                                                           |---> VLAN 2 Siemens S7


Der Netgear Switch kann VLAN untagged und tagged, aber hab da überhaupt noch keinen Plan wie ich das anstellen soll?!

Wichtig wäre das ich vom WLAN aus ins VLAN1 und VLAN 2 kann sowie über LAN von VLAN1 ins VLAN2 zwecks Programmierung der S7

Sowie das ganze auch über VPN und/oder IPsec von "außen" aus auch auf die Siemens und ins Heimnetz  zugreifen kann.

Momentan sind der IPCop sowie die OPNsense via DHCP am LAN4 bzw. LAN3 der FB angeschlossen und bekommen nicht die öffentliche IP, sondern die interne 192.168.178.xxx  der FB zugewiesen.

Softwarestand der FB ist 6.50 und man kann nur den LAN Ports 2-4 Portfreigaben wie exposed Host geben.

Macht es dann Sinn sich eine feste IP zuzulegen? Oder kann man das erstmal so belassen?
Gibt es womöglich jetzt Probleme so auf die FW und die Geräte dahinter zuzugreifen?

Es gibt ein ähnliches Thema bei administrator.de und pfsense.org https://forum.pfsense.org/index.php?topic=136190.0

Dort hat der User aber eine andere FW auf der FB und kann sich den Bridge bzw. RIP Modus einstellen.
Das geht bei meiner FB (noch) nicht. Komm aus NRW...


Frage an die Experten:

 -macht das so erstmal Sinn?
 -gibt es Verbesserungsvorschläge?
 - wie stell ich was am Besten ein, ohne das ich mich komplett selber aussperre  :o
 

Danke und Gruß
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 22, 2017, 10:35:23 am
Moin Thargor,

vielleicht interessiert dich ja folgendes Konzept.
https://forum.opnsense.org/index.php?topic=5965.0
Bei mir ist es nicht S7 sondern KNX aber vom Prinzip läuft es aufs gleiche hinaus.

Ich habe das derzeit in der VM laufen das ich üebr die VLAN Interfaces den Zugriff steuern kann, aber trotzdem in einem IP Subnetz bleiben kann, das erspart große Umstellungen bei den Geräten und sollte auch sonst nicht routingfähige Dinge erleichtern.

Bridgemodus des Kabelanschlusses ist immer schöner, aber dann gibts auch kein GAST LAN/WLAN an der FB mehr. Bei mir war die Umstellung dazu nicht im Modem sondern über (ex)KD Webseite.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 22, 2017, 10:54:04 am
Hi NilsS

warum sollte im BridgeModus kein WLAN mehr geben? Das betrifft doch dann nur die LAN Ports?!

Das WLAN der FB ist doch da nicht von betroffen?!

Einen wichtigen Punkt habe ich aber noch vergessen, das ist mir gerade aufgefallen als ich deinen Beitrage gelesen habe.

- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 22, 2017, 11:10:10 am
- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

Das kommt jetzt auf dein vorhaben an, aber da gibts mehrere Möglichkeiten:
* Proxy: https://docs.opnsense.org/manual/proxy.html - Sperrlisten für URLs und Dateiformate, ICAP (Content Filter)
* Zeitpläne in den Firewallregeln (Port ist nur von 8:00 - 22:00 offen etc.)
* DNS-Basierte Sperrlisten (Stichwort OpenDNS, https://devinstechblog.com/block-ads-with-dns-in-opnsense/ )
* Externer Firewallalias
* ...
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 22, 2017, 11:24:15 am
- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

Das kommt jetzt auf dein vorhaben an, aber da gibts mehrere Möglichkeiten:
* Proxy: https://docs.opnsense.org/manual/proxy.html - Sperrlisten für URLs und Dateiformate, ICAP (Content Filter)
* Zeitpläne in den Firewallregeln (Port ist nur von 8:00 - 22:00 offen etc.)



Hi

ja dieses würde mir schon erstmal reichen um zu ärgern  8) :P
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 22, 2017, 11:31:53 am
Der Bridgemodus der von UM über die Fritzbox angeboten wird scheint ein anderen zu sein als KD das mit reinen Kabelmodems macht. Die Fritzbox scheint dabei die öffentliche IP zu behalten und nur eine weitere an einen bestimmten LAN Port weiter zu reichen. Beim Kabelmodem wird die eine öffentliche IP direkt vom DOCSIS Modem an das dahinter angeschlossene Gerät weiter gereicht. Das Kabelmodem erhält nur eine private IP.
Durch die weitere IP scheint UM das wohl auch nur bei Businessanschlüssen zu machen.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 22, 2017, 12:03:29 pm
Hi

aufgrund des jetzigen SW Stands der FB (6.50 für NRW?!) kann man nur für die LAN Ports 2-4 den Exposed Host einstellen. Es gibt keinen "offiziellen" Bridge Mode.

Man kann  anscheinend mit dem FBEditor die Sicherungsdatei der FB bearbeiten und sich das selber freischalten.
KA ob das wirklich funktioniert...

Title: Re: OPNSense hinter FB 6490 Cable
Post by: Stephan on September 23, 2017, 09:51:12 pm
Hi,

wie ist den nun Dein Stand? ^^
Welche Infos benötigst Du?

Cheers,

Stephan
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 24, 2017, 10:21:40 am
Hi Stephan

also nachdem ich Probleme mit dem UM Anschluss hatte, und zweimal ein Techniker vom UM anwesend war, läuft mein Internet jetzt wieder.
Einen reinen "Bridge" Mode gibt es nicht bei meiner Provider FB.

Bin immer noch in der der Testphase, wobei ich mein LAN und WLAN auch schon über OPNSense laufen lassen.

Aber alles erstmal in den Standardeinstellungen.

Habe mich gestern nochmal mit diesem Unbound DNS Resolver herumgequält, aber das scheint jetzt auch zu laufen.
Nach einigem hin und her hab ich dann herausgefunden das man unter System -> Einstellung-> Allgemein dort die entsprechenden DNS Server eintragen muss :o ;)

Was mich noch interessiert:

 - Webproxy zusätzlich zum DNS Unbound nutzen oder ist das doppelt gemoppelt?
 - richtige FW Einstellungen für LAN und WLAN, also musst have
 - VLAN Einstellungen sowie wie weiter oben angefragt
 - Zeitplan für bestimmte IPs im LAN und WLAN
 - Zugriff von außerhalb auf die OPNsense und die S7 Steuerung

Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 24, 2017, 11:41:09 am
Moin Thargor,

was meinst du mit
Quote
System -> Einstellung-> Allgemein DNS Server eintragen
Das musst du nicht unbedingt. Es ist eine Frage wie du dein DNS nutzen möchtest.

Wenn du jedoch den Forward Mode nutzen willst, dann ist das richtig was du schreibst, sonst wüsste der unbound ja nicht wohin er forwarden soll.

Du kannst unter Einstellungen -> Allgemein jedoch auch die Provider DNS eintragen (oder 8.8.8.8 oder opendns) da du ja nicht per DHCP die Provider DNS bekommst, da die Fritzbox dazwischen hängt und du die Fritzbox wohl eher nicht als DNS nutzen willst.

Der unbound hat jetzt jedoch nichts mit dem webproxy zu tun. Den Webproxy kannst du später für die Kindersicherung später konfigurieren (als zwangsproxy für die IPs der Kinder) dort kannst du dann Blacklists etc pflegen.

Was meinst du mit "richtige" FW Einstellungen. Du hast derzeit alles auf Durchzug gestellt?

Du solltest viel mit den Aliases arbeiten.
lege dir erstmal für die unterschiedlichen Hosts und Ports Aliasgruppen ein (z.B. ADMINPC/KINDERPC/SERVER/S7PORTS ...)
Dann lege Firewall regeln darauf basierend an.
Damit die Kinder dann zeitlich begrenztes Internet haben brauchst du lediglich die Regel für den Alias KINDERPC anpassen mit Shedule.

Steuerung von außerhalb willst du wie realiseren? openVPN/IPsec?
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 24, 2017, 12:19:36 pm
- Webproxy zusätzlich zum DNS Unbound nutzen oder ist das doppelt gemoppelt?
Nein, der Proxy kann ja die Inhalte prüfen bzw. prüfen lassen (ICAP).
Du kannst zum Beispiel downloads blockieren oder bestimmte URLs (nicht den ganzen Host) sperren.

Ein paar offizielle Tutorials:
* https://docs.opnsense.org/manual/how-tos/proxywebfilter.html (https://docs.opnsense.org/manual/how-tos/proxywebfilter.html)
* https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html (https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html)

- richtige FW Einstellungen für LAN und WLAN, also musst have
da würde ich einfach mal die Einstellung alles aucher HTTP(S), SSH und DNS blockieren verwenden und dann nach und nach freigeben, was benötigt wird.


- Zeitplan für bestimmte IPs im LAN und WLAN
Ist im Reiter Firewall angesiedelt. Du kannst das bei einer Firewallregel angeben - außerhalb dieser Zeit trifft die Regel nicht zu.

- Zugriff von außerhalb auf die OPNsense und die S7 Steuerung
Würde die nur über VPN erlauben - es gibt OpenVPN und Mobile IPsec out of the Box, weitere können über plugins hinzugefügt werden. OpenVPN ist sehr vorteilhaft gegenüber IPsec, weil es keine Probleme mit NAT macht (TCP oder UDP). Ohne VPN sollte kein Gerät von außen erreichbar sein, außer es soll für JEDEN zugänglich sein. Falls du den Port nicht für HTTPS brauchst, würde ich dir OpenVPN via TCP auf 443 empfehlen.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Oxygen61 on September 24, 2017, 03:15:04 pm
Hey Fabian,

Quote
Falls du den Port nicht für HTTPS brauchst, würde ich dir OpenVPN via TCP auf 443 empfehlen.
Kannst du das vielleicht nochmal etwas näher erläutern? Welcher Vorteil entsteht hierbei im Gegensatz zu anderen Ports, wenn man keinen Webserver für JEDEN anbietet und daher Port 443 nutzen kann?

Schöne Grüße
Oxy
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 24, 2017, 03:40:06 pm
Der Vorteil ist, dass der HTTPS-Port in der Regel in Firewalls auf der anderen Seite der Verbindung freigeschaltet ist und oftmals nicht analysiert wird ("Das ist eh verschlüsselt"). Dadurch kommt man mit dem Client einfach leichter durch. Ist zum Beispiel interessant, wenn die Firewall auf Clientseite nur 80 und 443 für TCP und DNS freigibt. In diesem Szenario ist der Fall, dass auf dem HTTP-Port ein transparenter Proxy hängt, einfach viel wahrscheinlicher.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 24, 2017, 04:29:04 pm
Oder man verwendet sslh, ist im repo mit drin. (pkg install sslh)
Könnte man auch als plugin erstellen.
Ermöglicht openvpn ssh und webserver auf einem Port.

Am besten den openVPN auf localhost auf dem Standartport lauschen lassen und dann mit sslh oder portforwarding den Zugriff von den anderen Ports auf dem WAN Interface.
Um da wirklich alles rein zu lassen wäre.
SSH und OPENVPN/TCP mittels sslh auf Port 22 und 443
OPENVPN/UDP auf Port 53,123,443 und Standart

So kommst du eigentlich immer mittels SSH oder OpenVPN rein.

bzgl. Firewall Einstellungen
mach zwei Aliase
HIGHPORTS 1024:65535
ALLOWED_PORTS 21,22,23,43,80,110,123,143,443,465,554,563,587,993,995,HIGHPORTS

Dann machst du die PASS Regel mit Source HIGHPORTS Destination ALLOWED_PORTS
Damit hast du so eigentlich alles wichtige abgedeckt. DNS kannst du da auch noch hinzufügen, aber ich bevorzuge das nur auf den lokalen Server zu erlauben.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 24, 2017, 06:16:04 pm
Oder man verwendet sslh, ist im repo mit drin. (pkg install sslh)

Das ist ne Proxy software und gerade sowas will ich nicht drin hängen haben, weil ich im Webserverprotokoll die reale Quell-IP verliere. HTTPS und OpenVPN geht so übrigens auch ohne sslh - das braucht man nur, wenn SSH dazu kommt. Die Option heißt "port-share".

bzgl. Firewall Einstellungen
mach zwei Aliase
HIGHPORTS 1024:65535
ALLOWED_PORTS 21,22,23,43,80,110,123,143,443,465,554,563,587,993,995,HIGHPORTS

"High Ports" ist ziemlich Übel, weil jede Anwendung dort Ports binden kann - Die well known ports brauchen zumindest root-Rechte und sind damit zumindest mit hoher wahrscheinlichkeit vom Admin zur verwendung vorgesehen. Eine hohe Portnummer kann auch von einem User geöffnet werden und damit wahrscheinlicher von Malware.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 24, 2017, 06:45:35 pm
Naja was heißt denn übel, es ist ja keine Firmeninstallation sondern es scheint sich um zu Hause zu handeln (Kinder).

Wenn du dann ganz viel langeweile hasst, dann kannst du natürlich das alles erstmal zumachen und das gejammer der Kinder ertragen (die die nicht Erreichbarkeit von irgendwelchen Spielen dann warscheinlich von ihrer verfügbaren Onlinezeit wieder abziehen wollen)
Was ansonsten auf welchen Ports läuft ist eigentlich völlig egal, da root Rechte oder nicht ja bei Systemen im Internet die nicht unter meiner Verwaltung sind ja überhaupt keine Rolle spielen. Eigentlich will ich ja nur Anwendungen die ich blockieren will ihren Standardport nehmen.
SMTP 25 / SMB/CIFS 137,138,139,445
Der Rest ist zu Hause eigentlich egal.

bzgl. sslh sprachen wir doch auch über das eingehende zur Fernwartung von System und Hausautomation.
Da ist es doch völlig irrelevant ob ich in ssh/openvpn/https noch die echte IP sehe. Das blockieren von ganz ungewollten mache ich schon beim Zugriff  mittels GEOIP, und den Rest erledigen Zertifikate/priv key o.ä. bei der dahinterliegenden Anwendung.

Bei Firmennutzung stimme ich dir zu, da hat man ja eigentlich auch nicht den Hintergedanken das man irgendwie durch Firewalls durchkommen muss wo es nicht dafür gedacht ist.

Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 24, 2017, 07:07:19 pm
Hi Jungs

das Thema scheint euch ja zu interessieren. Ich finds gut. Und Danke an euch das ihr mir da unter die Arme greift.

Ich bin da erstmal voll der N00b und muss mich da durchackern. Aber Gut Ding will Weile haben.
Wenn man mir das alles ruhig und sachlich erklärt, komm auch ich da hinter...  ;D

Ja es handelt sich um ein "normales" Haus mit einer kleiner S7 1200 Steuerung drin  ;D :P. Und ja Kinder haben wir auch die jetzt im vor pubertären Alter sind und eines schon ein Handy hat.

Also langsam wirds Zeit da bissl "Hand" ans Netzwerk zu legen um "Safe" zu sein von welcher Seite auch immer.

Regel LAN:

(http://members.ps3-tools.de/Thargor/LAN.PNG)

Regel WLAN

(http://members.ps3-tools.de/Thargor/WLAN.PNG)

Mehr hab ich da jetzt nicht eingestellt...


Die andere Frage stellt sich mir, ob die FB auch die Anfrage weiterleitet an die OPNSense via OPNVPN.
Ich weiß nicht ob die Einstellung für exposed Host reicht und die FB das eifnach durchreicht.







 
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 24, 2017, 07:55:52 pm
Die andere Frage stellt sich mir, ob die FB auch die Anfrage weiterleitet an die OPNSense via OPNVPN.
Ich weiß nicht ob die Einstellung für exposed Host reicht und die FB das eifnach durchreicht.

Das lässt sich relativ einfach testen: Handy ist nicht im WLAN und dann probierst du eine VPN-Verbindung aufzubauen. Verbessern lässt sich das ganze noch, wenn du unter Paketaufzeichnung aktivierst und schaust, ob was ankommt. Damit klärst du beide Fragen auf einmal.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 24, 2017, 08:16:13 pm
Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.

Auf dem WAN Interface legst du deine Freigabe für dein OpenVPN an SOURCE würde ich (sofern du nicht in weiteren Ländern Urlaub machst) auf einen GEOIP Alias DACH (Deutschland/Östereich/Schweiz begrenzen) SOURCEPORT HIGHPORTS DESTINATION THIS FIREWALL OPENVPN. Du kannst auch einen weiteren ALIAS anlegen PUB_SERVICEPORTS
 in den du OPENVPN/HTTPS/SSH legst. Dann brauchst du nur eine Regel für eingehenden Traffic.

Für den Zugriff ins Internet legst du auf dem jeweiligen Interface (WLAN/LAN) je eine Regel an wie ich zuvor schrieb HIGHPORTS auf ALLOWEDPORTS an. Nur IPV4 TCP/UDP.
Wenn du Hosts im Internet Pingen musst, kannst du eine weitere Regel anlgegen IPv4 ICMP ECHO REQUEST.

Diese Regel kannst du jetzt noch weiter eingrenzen, indem du einen weiteren ALIASE anlegst KINDERTyp Hosts.
Weiter legst du ein Sunter Firewall -> Settings Shedule ein Zeitfenster an
Die IPs der Kinder legst du in den ALIAS KINDER, und jetzt klickst du bei der Regel TCP/UDP auf clone und änderst bei der OBEREN Regel den Source auf KINDER und trägst unten bei Shedule dein Zeitfenster ein.

Pingen dürfen die Kinder immer ;-)

Ich werde wenn ein paar Screenshots posten wenn ich mit meiner Umstellung durch bin.

Ich hab jedoch zusätzlich den Traffic über ein VPN ausgehend gerouted, da ich jetzt schon Sorgen hab wenn "Kumpels" Tablets/Laptops mitbringen das sie mir nicht irgendwelche Torrents o.ä. über die Leitung saugen und damit rechtliche Probleme ins Haus holen. Das fängt ja heute schon bei Streamingportalen an.

Aber das führt jetzt wohl zu weit.

Dein Aufbau ist wie gesagt das gleiche wie bei mir, und auch die Kinder scheinen in ähnlichem Alter zu sein.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 24, 2017, 08:44:28 pm
Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.
Also ich habe bei mir alle Regeln auf IPv4+IPv6 - so funktioniert mein Netzwerk zumindest noch wenn ich IPv6 hab. Solange es im WAN kein IPv6 gibt, geht ohnehin nichts über IPv6 raus.

Auf dem WAN Interface legst du deine Freigabe für dein OpenVPN an SOURCE würde ich (sofern du nicht in weiteren Ländern Urlaub machst) auf einen GEOIP Alias DACH (Deutschland/Östereich/Schweiz begrenzen) SOURCEPORT HIGHPORTS DESTINATION THIS FIREWALL OPENVPN. Du kannst auch einen weiteren ALIAS anlegen PUB_SERVICEPORTS
 in den du OPENVPN/HTTPS/SSH legst. Dann brauchst du nur eine Regel für eingehenden Traffic.
Das könnte eine gute Idee sein - außer wenn da wer aus den USA drauf muss (zum Beispiel weil man ne große Datei nicht per Mail verschicken will). Muss man halt selber wissen was man braucht.

Für den Zugriff ins Internet legst du auf dem jeweiligen Interface (WLAN/LAN) je eine Regel an wie ich zuvor schrieb HIGHPORTS auf ALLOWEDPORTS an. Nur IPV4 TCP/UDP.
Wenn du Hosts im Internet Pingen musst, kannst du eine weitere Regel anlgegen IPv4 ICMP ECHO REQUEST.
Bei allem außer ICMP: IPv4+IPv6.
Bei ICMP: 2 separate Regeln für IPv4 und IPv6 oder vorerst nur IPv4

Pingen dürfen die Kinder immer ;-)
Da gibts schon theoretisch schon einen VPN an der Firewall vorbei


Ich hab jedoch zusätzlich den Traffic über ein VPN ausgehend gerouted, da ich jetzt schon Sorgen hab wenn "Kumpels" Tablets/Laptops mitbringen das sie mir nicht irgendwelche Torrents o.ä. über die Leitung saugen und damit rechtliche Probleme ins Haus holen. Das fängt ja heute schon bei Streamingportalen an.
* Nicht vertrauenswürdige Geräte kommen nicht is (W-)LAN
* Der Zwangsproxy sollte das verhindern - notfalls mit Whitelist-Ansatz wenn man nur 80,443 raus lässt und das auch nur gefiltert.
* Es gibt bald ein Tor-Plugin von mir
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 25, 2017, 06:15:34 am
Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.

Moin

ich habe in den Floating  Regeln nichts aktiviert. Sieht vielleicht auf dem Bild etwas anders aus, Floating ist grau hinterlegt, das sind bis jetzt die reinen LAN bzw. WLAN Regeln.

Ansonsten werde ich mir mal deine Vorschläge in Ruhe anschauen und auch versuchen umzusetzen.
Das sieht auch schon so aus wie ich das auf Dauer haben will.

Kämen dann "nur" noch die VLANs hinzu.

Aber erstmal einen Schritt nach dem anderen.

Was mich überrascht hat ist, das der Unbound DNS viele Werbung auf dem LAN und WLAN wegblockt. Hab das nach dem Anleitungsvorschlag von fabian gemacht!

Das lässt sich relativ einfach testen: Handy ist nicht im WLAN und dann probierst du eine VPN-Verbindung aufzubauen. Verbessern lässt sich das ganze noch, wenn du unter Paketaufzeichnung aktivierst und schaust, ob was ankommt. Damit klärst du beide Fragen auf einmal.

D.h. das ich z.b über das Handy Netz (LTE what ever) eine OpenVPN Verbindung aufbauen muss.

Einen OpenVPN Client müsste ich dann auf dem Handy einrichten, den Server auf der OPNSense, richtig?

Die Siemens S7 braucht glaub ich Port 102



Und Vielen Dank an euch beiden! Ihr helft mir da echt weiter :) :)


Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 25, 2017, 08:23:35 am
D.h. das ich z.b über das Handy Netz (LTE what ever) eine OpenVPN Verbindung aufbauen muss.

Einen OpenVPN Client müsste ich dann auf dem Handy einrichten, den Server auf der OPNSense, richtig?

Ja, das ist richtig.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 25, 2017, 08:52:24 am
@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

das mit dem Tunnel über ICMP ist richtig, macht aber auch keinen unterschied, denn es geht ja auch über Tor/SSL VPN weiter nach draußen. Erfüllt dann auch den gleichen Zweck. Wenn meine Kinder so weit sind (Hut ab)
Ich tippe mal darauf das du keine Kinder hast, denn sonst wirst du schnell merken das das ich blocke mal alles was nicht whitelisted ist, schnell regelmäßig zu Familienkrisen führen wird.
Dein Ratschlag am Ende, das ein Tor Plugin von dir bald kommt, kann ich in diesem Zusammenhang fast nur als Ratschlag an seine Kinder sehen ;-)
[OT] Du bist dir hoffentlich bei der Implementierung des Tor Plugins auch über die Konsequenzen bewusst. Ein System was sich Zwecks Anonymisierung auf Tor verlässt (sprich klick mal schnell und anonym) ist da schnell für Leute in unterdrückten Regime ein Todesurteil. Wenn ein System Tor verwendet sollte es auch dafür sorgen das kein Traffic der den Nutzer verraten kann das normale Netzwerk verlässt.

@Thargor
das mit den Floating Regeln hab ich wie du schon erkannt hast falsch interpretiert. Ich habe mehr Interfaces (Aufgrund der VLANs) sodass ich zur Auswahl ein Dropdown Feld anstelle der Tabs habe.

Schränke die Kinder nicht zu sehr ein, sonst bist du da ständig am rumbasteln und wird die Kinder (wenn sie ein gewisses Alter erreicht haben) dazu bringen sich damit auseinander zu setzen wie sie das umgehen können.

Ich filtere lediglich die IP Blocks von AS32934 (Facebook) mit einer reject Regel, weil ich diese Facebook Ausspioniererei hasse.
Auf der pfSense hatte ich mal eine Adblock IP List, die habe ich dann aber auch wieder rausgenommen, weil einfach diverse Dinge nicht funktionieren.

Als Firma oder wenn sich zu Hause darüber alle einer Meinung sind, dann kann man so restrictive Regeln setzen. Aber bei oben genannten Regeln wird es Probleme mit Onlinespielen,Skype und auch diversen anderen Dingen geben.
Das könnte dann auch deine Frau nicht so akzeptabel finden.

bzgl. OpenVPN auf dem Handy.
Wie hattest du denn vor den Fernzugriff zu nutzen?
Hat die S7 auch eine Visualisierung oder willst du nur die Fernwartung mit einem Programm nutzen.
Trotzdem kannst du mit dem Handy erstmal die OpenVPN Funktionalität prüfen.

Ich würde dir empfehlen den OpenVPN Server zertifikatsbasiert aufzubauen. Nutze für Remotezugriffe wenn möglich niemals Passworte.

Anschließend musst du auf dem OpenVPN Interface noch Regeln für den Zugriff auf die S7 und gegebenenfalls auch für den Zugriff aufs Internet erstellen.

Letzere sind eine recht gute Möglichkeit z.B. ein ungeschüztes offenes WLAN zu nutzen und deinen Traffic des Handys verschlüsselt über deinen Internet Zugang zu schicken.

Das Stichwort dafür heißt im OpenVPN Server Redirect Gateway.
Wenn du Telekom Kunde bist, willst du vielleicht in den erweiterten Einstellungen dann noch
push "route 109.237.176.33 255.255.255.255 net_gateway";
eintragen. Dann kannst du auf pass.telekom.de zugreifen um deinen Traffic weiterhin einzusehen oder nachzubuchen.

Das waren jetzt warscheinlich ein bisschen viele Infos auf einmal, aber wie gesagt. Ich werde meine Konfig nachher gerne ein wenig teilen, wenn du bis dahin Geduld hast.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 25, 2017, 09:47:42 am
@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
Ist noch gar nicht so lange her, dass ich eine größere Bilddatei an einen Forenuser dort so verschickt habe.

IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

Wenn privacy extensions aktiv sind, wird eine zufällige IP-Adresse aus IPv6-Netz gewählt.
Die kann sich durchaus ein einer Session ändern.
Wenn die auf Basis der IP tracken, wird denen vermutlich der Storage in die Knie gehen und wenn auf Subnetzbasis getrackt wird, dann hast du den gleichen Fall wie IPv4 (Netzwerk hinter NAT). Unter Windows (derzeit dominierendes Desktopsystem) sind die privacy extensions standardmäßig aktiv, unter Linux ist es in der Regel auch nicht schwer, die einzuschalten.
Ohne privacy extensions sieht das so aus, das der hintere Teil aus der Hardware-Adresse abgeleitet wird - also im Ethernet die MAC-Adresse. Anhand der könnte man ja über Netzwerke getrackt werden - und genau das war der Grund, warum IPv6 privacy extensions hat. Fürs tracking werden in der Regel andere Dinge als die IP verwendet, da sich diese Nicht mit dem mobilen Markt vertägt (Handys sind hinter CGN + regelmäßige IP-Änderungen): https://panopticlick.eff.org/

das mit dem Tunnel über ICMP ist richtig, macht aber auch keinen unterschied, denn es geht ja auch über Tor/SSL VPN weiter nach draußen. Erfüllt dann auch den gleichen Zweck. Wenn meine Kinder so weit sind (Hut ab)
Doch das macht einen Unterschied: Deine Firewall wird so umgangen - die Regeln können nicht mehr durchgesetzt werden und es lässt sich zum Beispiel jede Webseite öffnen - auch wenn du sie eigentlich blockierst.

Ich tippe mal darauf das du keine Kinder hast, denn sonst wirst du schnell merken das das ich blocke mal alles was nicht whitelisted ist, schnell regelmäßig zu Familienkrisen führen wird.
Gut geraten - ich hab Informationssicherheit studiert - entsprechend sehen meine Empfehlungen aus - ob du sie Umsetzt bleibt natürlich dir überlassen.

Dein Ratschlag am Ende, das ein Tor Plugin von dir bald kommt, kann ich in diesem Zusammenhang fast nur als Ratschlag an seine Kinder sehen ;-)
[OT] Du bist dir hoffentlich bei der Implementierung des Tor Plugins auch über die Konsequenzen bewusst. Ein System was sich Zwecks Anonymisierung auf Tor verlässt (sprich klick mal schnell und anonym) ist da schnell für Leute in unterdrückten Regime ein Todesurteil. Wenn ein System Tor verwendet sollte es auch dafür sorgen das kein Traffic der den Nutzer verraten kann das normale Netzwerk verlässt.
Das sollte sich sogar einrichten lassen (Tor als transparenter Proxy - ist eine advanced Option). Macht aber Probleme mit UDP-Datenverkehr weil dieser mit Ausnahme von DNS nicht über Tor geleitet werden kann. Ist alles eine Sache der Firewallkonfiguration.
BTW: In solchen Ländern ist übrigens auch die Nutzung von Tor in der Regel illegal - da reicht es schon den Service zu starten.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 25, 2017, 09:57:04 am
[OT]für das UDP Problem kann man ein free VPN über Tor nutzen und den Traffic darüber lenken

aber auch da wirst du mit IPv6 dann wieder auf besagtes Problem stoßen.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 25, 2017, 11:01:09 am
@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

@Thargor
das mit den Floating Regeln hab ich wie du schon erkannt hast falsch interpretiert. Ich habe mehr Interfaces (Aufgrund der VLANs) sodass ich zur Auswahl ein Dropdown Feld anstelle der Tabs habe.

Schränke die Kinder nicht zu sehr ein, sonst bist du da ständig am rumbasteln und wird die Kinder (wenn sie ein gewisses Alter erreicht haben) dazu bringen sich damit auseinander zu setzen wie sie das umgehen können.


Ich filtere lediglich die IP Blocks von AS32934 (Facebook) mit einer reject Regel, weil ich diese Facebook Ausspioniererei hasse.
Auf der pfSense hatte ich mal eine Adblock IP List, die habe ich dann aber auch wieder rausgenommen, weil einfach diverse Dinge nicht funktionieren.
Als Firma oder wenn sich zu Hause darüber alle einer Meinung sind, dann kann man so restrictive Regeln setzen. Aber bei oben genannten Regeln wird es Probleme mit Onlinespielen,Skype und auch diversen anderen Dingen geben.
Das könnte dann auch deine Frau nicht so akzeptabel finden.

Noch habe ich gar nichts blockiert bis auf das was oben angegeben sind. Ich bereite mich erstmal nur darauf vor :-)
Facebook ist für mich und meine Frau eh kein Thema, und bis meine Große soweit ist, dauert es noch bissl. Trotzdem ein wichtiges Thema, das nicht außer Acht gelassen werden sollte.
Online Spiele kommen derzeit auch nur für mich in Frage  :P


Quote
bzgl. OpenVPN auf dem Handy.
Wie hattest du denn vor den Fernzugriff zu nutzen?
Hat die S7 auch eine Visualisierung oder willst du nur die Fernwartung mit einem Programm nutzen.
Trotzdem kannst du mit dem Handy erstmal die OpenVPN Funktionalität prüfen.

Ich würde dir empfehlen den OpenVPN Server zertifikatsbasiert aufzubauen. Nutze für Remotezugriffe wenn möglich niemals Passworte.

Anschließend musst du auf dem OpenVPN Interface noch Regeln für den Zugriff auf die S7 und gegebenenfalls auch für den Zugriff aufs Internet erstellen.

Letzere sind eine recht gute Möglichkeit z.B. ein ungeschüztes offenes WLAN zu nutzen und deinen Traffic des Handys verschlüsselt über deinen Internet Zugang zu schicken.

Das Stichwort dafür heißt im OpenVPN Server Redirect Gateway.
Wenn du Telekom Kunde bist, willst du vielleicht in den erweiterten Einstellungen dann noch
push "route 109.237.176.33 255.255.255.255 net_gateway";
eintragen. Dann kannst du auf pass.telekom.de zugreifen um deinen Traffic weiterhin einzusehen oder nachzubuchen.

Das waren jetzt warscheinlich ein bisschen viele Infos auf einmal, aber wie gesagt. Ich werde meine Konfig nachher gerne ein wenig teilen, wenn du bis dahin Geduld hast.

Es derzeit keine Visu für die S7 vorhanden, was aber nicht ist, kann ja noch werden.
Geplant ist ein Fernzugriff a] über einen Laptop mit TIA Portal installiert, sowie b) ein kleines HMI Tool für Android, nennt sich HMI Droid, was auf meinem Samsung S7 laufen soll.



Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 25, 2017, 11:07:00 am
Quote
Facebook ist für mich und meine Frau eh kein Thema,
Ich meine nicht den aktiven Zugriff darauf, sondern die Like Buttons die überall umherschwirren und auch ohne das du Mitglied bei FB bist dafür sorgen das dein Profil sich füllt.


bzgl Visu. openhab könnte da evtl. was sein. kenn mich nicht mit S7 aus aber ein Binding gibt es dafür anscheinend.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 25, 2017, 11:18:16 am
Ich meine nicht den aktiven Zugriff darauf, sondern die Like Buttons die überall umherschwirren und auch ohne das du Mitglied bei FB bist dafür sorgen das dein Profil sich füllt.

Du kannst via Proxy auch nur die social plugins blockieren. Dann kanst du die Seite noch regular verwenden. Braucht dann aber schon relativ viel Wissen im Web-Bereich - zudem müsstest du HTTPS aufbrechen was nicht allen hier gefällt (absolutes Streitthema).
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 25, 2017, 11:22:51 am
Quote
zudem müsstest du HTTPS aufbrechen was nicht allen hier gefällt (absolutes Streitthema).
yep, genau das würde ich auf jeden Fall vermeiden wollen. Macht das ohnehin schon ein wenig kaputte PKI Model noch ein wenig kaputter. Außerdem Probleme bei Cert Pinning was dann bei Facebook auch schon in den meisten Browsern zum Problem werden sollte.
EDIT: wir schweifen ein klein wenig vom Thema ab ;-)
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 25, 2017, 02:21:09 pm
Hi

genau nicht am Thema vorbei reden...  :P

Frage zu den Regeln weiter oben:

- was soll/muss da noch rein
- reicht das so vorerst aus?

Wenn ich dann einen Webproxy einrichte, mit White/Blacklist, muss ich ja an jedem Handy und PC die Proxyadresse einstellen.

Was ist mit diversen andren LAN Teilnehmer, wie eine GigaBlue SAT Receiver, mein Yamaha AVR, mein NAS System etc.

Den müsste ich das ebenfalls mitteilen korrekt?


Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 25, 2017, 02:55:06 pm
deswegen hatte Fabian dir ja einen transparent Proxy empfohlen
https://docs.opnsense.org/manual/how-tos/proxytransparent.html
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 25, 2017, 03:31:48 pm
Ok

dann versuch ich mal den zu installieren ::) :)

Irgendwie funzt das nicht... 

Inwieweit muss ich das Setup: Caching Proxy befolgen?
Title: Re: OPNSense hinter FB 6490 Cable
Post by: monstermania on September 26, 2017, 08:02:29 am
Irgendwie funzt das nicht... 
Inwieweit muss ich das Setup: Caching Proxy befolgen?
Einfach das Setup gemäß dem HowTo machen. Dann klappt das auch mit dem transp. Proxy.   ;)
Bliebe noch die Frage, ob Du SSL-Verbindungen aufbrechen willst...

Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 26, 2017, 08:20:02 am
Ok

probiere das heute Nachmittag nochmal aus... vorbereitet habe ich das alles, nur sind die Regeln die NAT Regeln nicht aktiv...

Title: Re: OPNSense hinter FB 6490 Cable
Post by: fabian on September 26, 2017, 08:52:11 am
Ohne NAT-Regeln geht es aber nicht.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 26, 2017, 09:52:36 am
Hi

meinte das alle LAN Regeln und die NAT Regeln vorbereitet, aber deaktiviert sind.  :)

EDIT:

so ich glaube das funktioniert im LAN schon mal.

Wie verhält sich das im WLAN?  Ich denke ich muss dann die gleiche Prozedur fürs WLAN auch machen, richtig?

Was ist mit dem erstellen Zertifikat? Wird das dort dann auch möglicherweise benötigt?

EDIT2: so auch im WLAN funktioniert das jetzt... hab das CA auch auf dem Handy installiert

EDIT 3: Apps wie Banking oder ebay-kleinanzeigen funktionieren auf dem Handy so nicht....
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 29, 2017, 08:52:35 am
moin

so hab diverse Foren jetzt durch, aber ich habe immer noch keine Lösung für das Problem das ich mit Andorid 7 über den transparenten Proxy keine Apps wie ebay, Playstore, ebay-kleinanzeigen  etc. öffnen kann.

Immer wird mir gesagt das keine Internet oder WLan Verbindung besteht. Über den Chrome Browser funktioniert alles.

Kann das wer nachvollziehen, bzw. gibt das eine andere Lösung?
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 29, 2017, 09:26:14 am
Eigentlich ist das auch richtig so.
Certificate pinning schützt dich davor, das ansonsten JEDER der im Besitz eines private key einer CA ist der dein OS/Browser vertaut, auch Zertifikate für JEDE  andere Seite ausstellen kann (so wie du es auch machst).

Das entfernt den Sinn der HTTPS Verbindung. Denn eigentlich geht ja jeder davon aus, das das https genau das (nämlich das Ausspionieren des Datenstroms incl. Passworten und privaten Daten) verhindert.

Du machst das mit dem transparenten Proxy jetzt nicht ganz ungefährlich. Sollte jemand zugriff auf deine opnSense Installation bekommen, kann er alle Daten und Passworte deiner User (Familie) ausspionieren.

Ich würde solch ein Risiko definitiv nicht eingehen, weder privat noch beruflich, da ich die Risiken die Unwissenheit über den Content/URLs der User deutlich geringer einschätze als die Chance das damit sämtliche Passwörter ausspioniert werden könnten.

Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 29, 2017, 09:32:24 am
Hi Nils

ok.. also bliebe mir nur der "normale" Webproxy.

Dann müsste ich aber jedes Wlan - und Lanfähiges Gerät im Haus mit der Proxyadresse einstellen, richtig?

Oder müsste ich in den Einstellungen, die nicht abzufangenden SSl Seiten dort eintragen? Also die SSL Bumps?
Title: Re: OPNSense hinter FB 6490 Cable
Post by: NilsS on September 29, 2017, 09:40:54 am
du kannst den Haken bei Log SNI information only setzen.

Dann hast du wenigstens den Hostname, aber lässt die Verbindung auch ohne die Zertifikatsfälschung zu (das heißt es bleibt das eigentliche Zertifikat der Seite erhalten)
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 29, 2017, 12:04:01 pm
Hi

Internetseiten sind ja nicht das Problem. Das Problem taucht ja bei aufrufen von Apps direkt auf.

Mit Log SNI aktiviert, klappt das auch nicht.
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on September 30, 2017, 10:03:47 am
Was jetzt erstmal geholfen hat ist, die relevanten Seiten in die SSL Bump Liste einzutragen
Title: Re: OPNSense hinter FB 6490 Cable
Post by: Thargor on October 02, 2017, 05:29:47 pm
So ganz verstehe ich das immer noch nicht.

Im NAT Portforwading sieht das so aus bei mir:

(http://members.psxtools.de/Thargor/NATPWL.PNG)

Die Regeln im LAN:

(http://members.ps3-tools.de/Thargor/LAN1.PNG)

Sobald ich aber die Block Regeln aktiviere, und im Browser den Proxy einstelle, funktioniert nix mehr...


Die Regeln im WLAN:

(http://members.ps3-tools.de/Thargor/WLAN1.PNG)

Wenn ich Block Proxy für http und https aktiviere funktioniert gar nix auf dem Handy. Auch mit aktivierten Proxy . Das WLAN Symbol bekommt ein ! und sagt keine Internetverbindung vorhanden.

Irgendwas stimmt da nicht...
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 06, 2017, 06:04:05 pm
Hi

ich kämpfe seit Tagen mit dem Webproxy und der Perfomance.

Habe alles wie in der Anleitung unter Caching Proxy und Transperanten Proxy eingestellt, auch im Browser ist der Proxy jetzt eingestellt.

 - Wie stelle ich das für das WLAN ein?
 - die selbe Prozedur der LAN Schnittstelle auch für die WLAN Schnittstelle machen?
 - Unter: Forward Proxy -> Proxy Interface dort auch WLAN einstellen?
 - beim Transparenten Proxy muss der Browser am PC die Proxyeinstellung behalten? Das geht aus der Anleitung nicht hervor
 - Wefilter von UT1 und yoyo Adblock sind aktiviert
 - im WLAN auf dem Samsung S7 klappt das überhaupt nicht... komm da auch mit den Proxyeinstellungen nicht zurecht, diese kann man ja in den WLAN Einstellungen aktivieren

 - Da die WLAN Karte anfür sich eher bescheiden läuft, habe ich mir überlegt ob ich nicht den alten IPCop einfach als WLAN AP nutze.
 - der IPCOP hänggt ja noch an der FB aber ich brauche nur das WLAN davon noch
 - sollte ich den IPCOP zu ein DD-WRT umfunktionieren oder könnte ich den einfach an den OPT1 dranhängen
 - wenn ja, wie mach ich das?

Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Oxygen61 on October 07, 2017, 12:38:17 am
Hi Thargor,

kann dir beim Proxy keine genauen Dinge sagen, weil das Projekt ähnlich wie bei dir auch noch bei mir in meiner Netzwerkumgebung ansteht.
Aber ganz theoretisch und oberflächlich gesagt: Ein transparenter Proxy soll dir ja eben die Konfiguration des Clients abnehmen. Ich weiß grad nicht wie OPNsense das verarbeitet, aber mit transparenten Proxy musst du am PC oder am Handy gar nichts einstellen, solange die Clients den Proxy, aka. die Firewall erreichen.
Bei SSL-Interception auch am Besten all die Webseiten rausnehmen (ausklammern) die mit Geld zu tun haben oder die ohne Ausnahmeregelung nicht länger funktionieren. Deine Bank.... Paypal... Youtube.... Appstore usw. Aber das hattest du ja eh schon herausgefunden.....

Caching Proxy ist aus meiner Erfahrung immer keine gute Idee gewesen. Ich meine man beachte alleine mal wie viele Probleme beim Browser manchmal entstehen, wenn der Cache nicht gelöscht ist. Veraltete Webseiten usw.
Auch hier wieder.... Keine Ahnung wie der Caching Proxy in OPNsense von der Performance her läuft. :)

Zum Thema WLAN:
Probleme mit WLAN Karten beschreiben viele. Das ist grundsätzlich oft ein Treiber Problem von FreeBSD. Da muss man sich stark auf Erfahrungswerte von anderen verlassen, wenn man denn diese Schiene so fahren möchte. Einen AP zu betreiben ist auf jeden Fall die bessere Variante, weil dann der AP unabhängig vom OPNsense Betriebssystem arbeitet.
Kenne mich mit IPcop nicht aus, aber du kannst hier schauen ob deine Hardware unterstützt wird: https://www.dd-wrt.com/site/support/router-database

Ich hatte meinen 20 Euro DLink Router damals mal zu einer Maschine umfunktioniert. Lohnt sich auf jeden Fall nach meiner Erfahrung. Ich meine bevor du es weg schmeißt. Einen Versuch wäre es sicher wert. :)
Achtung nur: Nach dem Flashen öffnet DD-WRT ein offenes WLAN Netzwerk (warum auch immer). Das dann also entweder sofort abschalten oder absichern. :)
Wie das Flashen funktioniert hatte Chip.de mal gut beschrieben:
http://praxistipps.chip.de/dd-wrt-so-installieren-sie-die-alternative-router-firmware_32595

Versuche es aber ruhig erstmal ohne Flashen. Wenn dein IPCop AP auch so schon ausreichend gut funktioniert liegt es an dir ob du mit DD-WRT noch mehr raus holen möchtest, bzw. ob du das auch wirklich brauchst.

Viel Erfolg und schöne Grüße
Oxy
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 07, 2017, 09:47:43 am
Hi Oxy

Danke für Deine Ausführungen.

Mir geht es in erster Linie darum wie ich unter Firewall die Regeln und die NAT Regeln einstellen soll.
Weil darauf wird in der Anleitung nicht näher eingegangen, ob die sich ergänzen oder ob z.b. die BLOCK BYPASS Regeln wieder rausgenommen werden müssen wenn der Transparent Proxy aktiviert ist.

Wenn mir das mal einer etwas näher bringen würde, wäre mir schon etwas geholfen.

Zum WLAN:

glaub da ich mit der jetzigen verbauten WLAN Karte wenig Durchsatz und Stabilität habe, würde ich gern versuchen, den jetzigen IPCOP hinter die OPNSense an den OPT1 Ausgang zu hängen und nur das WLAN des IPCOP zu nutzen.

Wie stell ich das dann am besten in den Regeln ein? Der IPCOP nutzt einen anderen SSH Port: 8443 derzeit.

Müsste ich dazu eine Brücke bauen?

Fragen über Fragen ??? :o ;)

Und kann man das generell so machen?


Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Oxygen61 on October 07, 2017, 09:48:34 pm
Hi Thargor,

wie gesagt zum Proxy könnte ich dir was sagen, aber da mir selber noch die Umsetzung fehlt, sag ich lieber nix. :P

Zum WLAN:
Wenn du den AP/IPCop direkt an das Firewall Interface der OPNsense hängen willst (opt1) dann sind die Schritte auf seiten der OPNsense schnell erklärt. :)
1. den AP an das Interface OPT1 ranstöpseln
2. auf der GUI der OPNsense unter Interface Assignments, das OPT1 Interface hinzufügen und raufklicken.
3. Enablen, Beschriftung auf WLAN ändern, Block bogon networks anmachen, IPv4 Configuration Type: Static IPv4 auswählen und als IPv4 address das OPNsense WLAN Interface Gateway reinschreiben mit z.B. der Subnetzmaske /24.  IPv4 Upstream Gateway auf "None".
4. Unter Services > DHCP Server auswählen und enablen. Die Range z.B.: von 192.168.X.100 - 192.168.X.254 auswählen, falls das dein privates WLAN Subnetz wär.
DNS servers:  das OPNsense WLAN Interface Gateway selber, also z.B.: 192.168.X.1
Gateway: IP deines Access Points im WLAN Subnetz, also z.B.: 192.168.X.2
NTP servers: Wieder die WLAN Interface IP der OPNsense (z.B.: 192.168.X.1)

Die WLAN Clients bekommen von der OPNsense per DHCP also als Gateway den AP zugewiesen, für den Rest aber die OPNsense. Beim AP musst du dann noch ein Default Gateway oder eine Static Route schreiben die auf die OPNsense zeigt z.B.: Destination 0.0.0.0 Subnet: 0.0.0.0 Next Hop: 192.168.X.1
5. Rules:
Die Regeln sind typisch wie immer also:
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit TCP/UDP Port 53 (DNS)
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit UDP Port 123 (NTP)
- Erlaube Source: WLAN Subnetz auf Destination: !RFC1918 (Das ist ein Alias der in der Regel umgekehrt wurde, also das Gegenteil von allen privaten IP-Adressen, aka. das Internet) mit TCP/UDP Port "irgendwas", was du halt freischalten möchtest für das Internet.

Aus deinem LAN /ADMIN VLAN ... whatever.... solltest du noch folgende zusätzliche Regeln schreiben um auf den AP zu kommen. (Per Web und/oder SSH):
- Erlaube Source: LAN Subnetz auf Destination: IPCOP WLAN Interface mit TCP Port 80 und 443 (HTTP/HTTPS)
- Erlaube Source: LAN Subnetz auf Destination: IPCOP WLAN Interface mit TCP Port 8443 (SSH)

Das wars im Grunde eigentlich auch schon.
Quote
Müsste ich dazu eine Brücke bauen?
Eine WLAN / LAN Bridge kann man bauen. (Machen auch viele). Ich würde aber davon abraten, wenn es denn nicht zwingend notwendig ist, einfach um die Firewall Regeln sauber zu halten und auch den Überblick nicht zu verlieren. Außerdem ist dann LAN und WLAN tatsächlich von einander getrennt.

Wenn du ganz viel Spaß hast, kannst du das Ganze natürlich auch nochmal eine ganze Ecke "professioneller" aufziehen mit Switchen / Link Aggregation / VLANs und und und...
Abhängig davon wie viel Lust und Laune du hast und je nachdem wie viel Platz du für alles das Zeug hast wird die Umsetzung dann halt noch performanter/sicherer für dein WLAN. :)

Schöne Grüße
Oxy :)
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 08, 2017, 04:44:19 pm

4. Unter Services > DHCP Server auswählen und enablen. Die Range z.B.: von 192.168.X.100 - 192.168.X.254 auswählen, falls das dein privates WLAN Subnetz wär.
DNS servers:  das OPNsense WLAN Interface Gateway selber, also z.B.: 192.168.X.1
Gateway: IP deines Access Points im WLAN Subnetz, also z.B.: 192.168.X.2
NTP servers: Wieder die WLAN Interface IP der OPNsense (z.B.: 192.168.X.1)

Die WLAN Clients bekommen von der OPNsense per DHCP also als Gateway den AP zugewiesen, für den Rest aber die OPNsense. Beim AP musst du dann noch ein Default Gateway oder eine Static Route schreiben die auf die OPNsense zeigt z.B.: Destination 0.0.0.0 Subnet: 0.0.0.0 Next Hop: 192.168.X.1
5. Rules:
Die Regeln sind typisch wie immer also:
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit TCP/UDP Port 53 (DNS)
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit UDP Port 123 (NTP)
- Erlaube Source: WLAN Subnetz auf Destination: !RFC1918 (Das ist ein Alias der in der Regel umgekehrt wurde, also das Gegenteil von allen privaten IP-Adressen, aka. das Internet) mit TCP/UDP Port "irgendwas", was du halt freischalten möchtest für das Internet.


Oxy :)

Hi

danke für die ausführliche Anleitung, aber so ganz verstanden habe ich das noch nicht....
Ich versuche das mal zu resümieren in weit ich das so verstehe:
 - als Bsp: mein IPCOP hat das WLAN im Bereich 192.168.5.2 - 192.168.5.200 prim. DNS ist 192.168.5.1
 - das neue unter OPT1 genannte WLAN_IPCOP hat den Bereich 192.168.8.2 bis 192.168.8.200
 - die "rote" WAN Schnittstelle des IPCOP bekommt per DHCP vom OPNSense WLAN_IPCOP Interface eine IP zugewiesen, also 192.168.8.x - oder besser wäre noch eine statische IP zuweisen? Wäre diese IP dann gleichzeitg das Default Gateway?

 - Prinzipiell wäre das dann ja so, wie es momentan läuft: der IPCOP hängt ja noch an der FB 6490. das würde dann ja das neue OPT1 WLAN_IPCOP Interface übernehmen, korrekt?






Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Oxygen61 on October 08, 2017, 11:43:16 pm
Oh okay ich sehe was du meinst... dann is dein IPCOP aber kein "richtiger" Access Point, sondern selbst ein Router/Firewall mit WLAN Bastellösung... verstehe.... klingt sehr umständlich aber gut sei es drum. :)

Hast du denn dein Netzwerk bildlich schon mal aufgemalt? Also alle Komponenten mal verkabelt und dir nen Überblick verschafft? Die meisten Fragen klären sich dann meist von selbst. :)
https://www.draw.io/ ist dafür ganz gut. :)

Ansonsten soweit ich das richtig verstanden habe, ist zwischen der Verbindung vom IPCOP (WAN) und der OPNsense (WLAN_IPCOP) kein anderes Netzwerkgerät mehr oder? Point-to point Verbindung werden in einem /30 Subnetz dargestellt, da es nur zwei mögliche IP Adressen gibt, die des OPNsense Interfaces und die des IPCOP Interfaces, die beiden anderen sind Broadcast und Netzmaske.
Was dein IPCOP dann zusätzlich für ein Netzwerk ausstrahlt für die WLAN Clients sollte eigenständig sein, aber das hast du mit 192.168.8.X /24 ja gut im Griff. :)

Wie gesagt am Besten ist, du malst dir das ganze mal bildlich auf, schön und übersichtlich. Schnell wirst du dann merken, welche Fragen/Probleme nicht ganz aufgehen und offen bleiben.
Im Grunde gibt es also mehrere Möglichkeiten wie du das umsetzen kannst, soweit ich dein Netzwerk verstanden habe. Entweder du lässt die IPCOP selber die Firewall/Router/AP sein oder die IPCOP wird wirklich nur Access Point spielen.
Im zweiten Fall, muss das OPNsense Interface, welches an der IPCOP hängt UND auch jeder Client der sich in das WLAN über Funk anmeldet und von der OPNsense per DHCP eine IP kriegt, im selben Subnetz sein.
Z.B.: OPNsense Interface <192.168.8.1-------192.168.8.2> IPCOP Interface >>> WLAN Funk für die Clients.
Die Clients verbinden sich und landen bei der IPCOP und fragen 192.168.8.1 nach DHCP und bekommen eine Ip/Subnetzmaske /DNS/NTP und Default Gateway zugewiesen.

Schöne Grüße
Oxy
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 09, 2017, 11:24:48 am
Hi

hab das jetzt mal aufgezeichnet wie das jetzt zur Zeit aktuell ist
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: monstermania on October 09, 2017, 02:27:54 pm
Moin,
warum dieses Konstrukt mit dem IP-COP?
Besorg Dir einen Access Point (AP) und mach das WLAN damit. Ein vernünftiger AP mit 2,4 GHZ/5 GHZ und PoE kostet keine 100€. Die UniFi AC Lite sind m.E. sehr empfehlenswert (~ 80€).
Allein schon die Energiekosten eines PC mit IP-Cop drauf würden mich abschrecken. Noch dazu der doppelte Verwaltungsaufwand mit dem IP-COP!
Über den AP kannst Du z.B. problemlos ein ein internes WLAN und ein Gäste-WLAN bereitstellen. Der AC Lite unterstützt max. 4 unterschiedliche SSID.

Du musst dann noch für Deine Anforderungen klären, ob Du Dein LAN und Dein WLAN per Bridge verbindest um ein gemeinsames internes Netz aus LAN/WLAN zu erhalten, oder ob Du das WLAN als eigenständiges Netz laufen lässt.
Beide Optionen haben Vor- und Nachteile.
Ein gemeinsames LAN/WLAN ist einfacher in der Konfiguration da z.B. Firewall-Regeln nur einmalig auf der Bridge eingerichtet werden müssen und dann gleichzeitig auf das LAN/WLAN angewandt werden. Auch Streaming von einem LAN Device (z.B. NAS) zu einem WLAN-Device (z.B. Tablet) ist bei einem gebridgten LAN/WLAN-Netz unproblematisch.
Sicherheitstechnisch bietet ein eigenes WLAN natürlich gewisse Vorteile, da die Kommunikation zwischen den Netzwerken dann natürlich individuell gesteuert werden kann.

Gemäß Deiner Zeichnung sehe ich jetzt keinen Grund das WLAN als eigenes Netz zu betreiben.

Gruß
Dirk

Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 09, 2017, 03:42:23 pm
@Dirk

Danke für die Erläuterung.  Der Ipcop läuft ja aufm nem Alix 2D4. Und das ganz unproblematisch und stabil. Hab halt gedacht das ich den weiter nutzen könnte... oder als Alternative ein DD-WRT von der Hardware zu machen....

Daher die Frage was nun mehr Sinn macht... das System wäre dann über und wäre Schade drum....

Wenn würde ich wie bisher WLAN und LAN getrennt behandeln wollen. Ist ja jetzt auch so und ich kann aufs interne LAN  zugreifen.
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: monstermania on October 09, 2017, 05:32:51 pm
Danke für die Erläuterung.  Der Ipcop läuft ja aufm nem Alix 2D4. Und das ganz unproblematisch und stabil. Hab halt gedacht das ich den weiter nutzen könnte... oder als Alternative ein DD-WRT von der Hardware zu machen....

Daher die Frage was nun mehr Sinn macht... das System wäre dann über und wäre Schade drum....
Na ja,
dann würde es m.E. sinnvoller sein auf der 2. ten APU 2D4 (das ist kein ALIX!!!) eine 2'te OPNsense zu betrieben und einen HA Cluster einzurichten (CARP).  ;)
Ansonsten den einfach eines der APU-Boards verkaufen. Die werden m.W. nach ganz gut bei ebay gehandelt, so dass sich ein Verlust in Grenzen halten sollte.
Das wäre auf jedem Fall sinnvoller als einen IP-Cop rein als AP zu mißbrauchen!

Mit der WLAN/LAN Bridge kannst Du es so machen, wie es Dir beliebt!  :)
Da gibt es kein Richtig oder falsch, sondern nur ein 'Paßt zu meinen Anforderungen'!

Gruß
Dirk
Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 09, 2017, 06:55:19 pm
Quote
Na ja,
dann würde es m.E. sinnvoller sein auf der 2. ten APU 2D4 (das ist kein ALIX!!!) eine 2'te OPNsense zu betrieben und einen HA Cluster einzurichten (CARP).  ;)

Ups.. ja stimmt ist ja ein Alix 2D3... wie dem auch sei... ich glaube echt die Tendenz geht zum AP...

Dann ist das alles irgendwie stimmiger...

Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 13, 2017, 02:51:02 pm
So kurzes Feedback

habe mir jetzt wie empfohlen die die UAC-AP_lite gekauft.

Title: Re: [ungelöst] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 17, 2017, 08:58:59 am
Moin

bin gerade am verzweifeln.... versuche den neuen unifi_AP seit Stunden schon zu installieren, aber ich komme da echt nicht weiter....

Was habe ich gemacht:
 - Proxy und dementsprechende NAT und FW Regeln deaktiviert siehe Bilder
1. OPT1 Interface auf re2 eingerichtet und auf WLAN_AP umgenannt
2. Statische IPv4 vergeben 192.168.8.1/24
3. DHCP Server für WLAN_AP eingerichtet im Bereich von 192.168.8.10-200
4. Erstmal die üblichen Rules aufgestellt, siehe Bilder, probehalber auch erstmal alles auf Deny ALL
5. Bekomm unter Leases auch eine IP des AP angezeigt: 192.168.8.10
6. anpingen kann ich die IP aber es  kommen auch nur 3 Pakete an???
7. Über das Unifi Controller Tool bekomm ich den AP nicht angezeigt
8. spaßeshalber den AP mal an den Switch für das LAN gehängt , dort klappt das sofort mit dem Tool
9. was mache ich falsch???

LAN Regeln - Proxy deaktiviert
(http://members.psxtools.de/Thargor/Lan3.PNG)

WLAN_AP Regeln
(http://members.psxtools.de/Thargor/WLAN_AP.PNG)
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: monstermania on October 17, 2017, 09:23:17 am
Leider keine Bilder...
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 17, 2017, 10:06:11 am
Hmm

Über LTE seh ich das....
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: franco on October 17, 2017, 11:26:38 am
Von hier geht es auch mit den Bildern.
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 17, 2017, 05:19:00 pm
lass mal die Bogons aus dem AP-LAN raus.
Das macht in einem von dir kontrolliertem Netzwerk nicht so viel Sinn
Stattdessen kannst du Source ja immer auf AP-LAN Net stellen

Was heißt bei dir denn das nur 3 Pings ankommen?
Danach gibt es einen Timeouts? Sind die pings von der Firewall oder aus dem LAN Netz?
Versuch mal von der Diagnose Seite unter -Interface?(hab gerade kein Zugriff auf die GUI)
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 17, 2017, 06:43:03 pm
Hi

habe jetzt Schnittstelle nochmal komplett neu angelegt.
Anpingen lässt sich der AP jetzt einwandfrei, sowohl in OPNSense als auch vom LAN am PC her.

In der Leases Tabelle seh ich den auch, aber komm mit diesem verk**** Unifi Controller Tool nicht auf den AP drauf um den passend zu konfigurieren.

Auch per Putty bekomme ich Zugang wenn ich die IP des AP eingebe...





Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Stephan on October 17, 2017, 06:48:32 pm
Was sagt denn das Firewall-Protokoll? Müsste ja eigentlich irgendwas drin stehen, wenn die was blockt.
Die Routingtabelle passt auch? Sprich eine Route vom LAN zum WLAN Netz und umgekehrt ist vorhanden?

Gruß,

Stephan
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 17, 2017, 07:12:05 pm
Wenn Du unter System -> Routen -> Alle meinst, dort ist nichts eingetragen.

Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Stephan on October 17, 2017, 09:18:41 pm
Ok, mit routing unter freebsd kenn ich mich noch nicht so aus - aber das sollte eigentlich standardmäßig passen...?

Ich würd mir mal parallel bei Deinen Zugriffstest das Firewall log unter die Lupe nehmen, ob die Zugriffe von/zu dem AP ins Lan geblockt wird.

und evtl auch bei Deinen Regeln anstelle von dem Adressbereich mal den Alias von den Netzen nehmen (so wie Du's auch bei der Quelle gemacht hast)
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Oxygen61 on October 17, 2017, 09:31:45 pm
Hey,

statische Routen braucht man erst, wenn das Netzwerk/Subnetz oder die Netzwerke nicht directly connected mit der Firewall sind. Wenn dein AP für sein WLAN also ein komplett unterschiedliches, eigenständiges Subnetz aufbaut und quasi selber Router spielt und die Pakete dann nur noch zum Interface der Firewall schickt, dann brauchst du eine statische Route in genau das Netz, welches dein AP Router für die WLAN Clients nutzt. Dieses ist der OPNsense ja nicht bekannt.

Wenn dein WLAN Interface im Subnetz 192.168.10.0/24 ist und selber die .1 hat und der AP die .2 und alle Clients von mir aus per DHCP ab .100 aufwärts bis .254 IP's bekommen (nur als Beispiel), dann brauchst du keine statische Route bei deiner Firewall.

Einfacher gesagt: Alle Interface Subnetze der Firewall kennen sich standardmäßig untereinander, diese sind durch die Firewall quasi "direkt verbunden" und müssen nicht extra statisch nachgetragen werden. (Das kann man auch irgendwo in der OPNsense Routing Übersicht nachschauen, welche Routen grade aktiv sind.)

Falls du dir nicht sicher bist, kannst du mit Tracert/Traceroute entweder vom Client selber oder auch direkt von der Firewall aus die Hops überprüfen. Da wird dann meist schnell klar, woran es scheitert.

Außerdem wie schon Stephan vor mir sagte, wenn was geblockt wird steht es im Firewall Log. Da also mal nebenbei ein Auge drauf haben. Tools und Webschnittstellen von Hardwaregeräten nutzen meist sehr hohe Portnummern um andere Geräte und Dienste nicht zu stören.
Denk daran, dass du aber auch eine Regel aktiv haben musst, ganz am Ende der Regelkette, die auch das "Logging" aktiv hat und die geblockten Pakete ins Log schreibt. Ansonsten greift die Default Deny Any Regel und da weiß ich grade nicht aus dem Kopf ob die standardmäßig in das Log schreibt oder nicht. :)

Schöne Grüße
Oxy
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 18, 2017, 06:38:35 am
Hi Oxy

ist ja alles gut und schön und Danke für deine/eure Hilfe.

Aber was ich nicht verstehe ist, dass, wenn auf der Sense beide Interface offen wie ein Scheunen Tor sind, also die ALLOW ANY ANY Regel aktiviert sind, warum es dann trotzdem nicht funktioniert?

Siehe Bilder auf Seite 4.

Sobald ich das Mi** Ding auf den LAN Switch hänge findet das Tool den AP...
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 18, 2017, 09:21:06 am
ich würde mal darauf tippen https://help.ubnt.com/hc/en-us/articles/204976094-UniFi-What-protocol-does-the-controller-use-to-communicate-with-the-UAP-

Quote
By default, AP “discovery” occurs via Layer-2 broadcast / multicast traffic in order for a “local” controller to see it. The AP beacons, controller replies.

Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 18, 2017, 09:54:44 am
Hi

ok... aber was heißt das für mein WLAN_AP Interface?

Was müsste ich jetzt da einstellen damit ich das von meinem LAN Interface darauf zugreifen und den AP einstellen kann?
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Stephan on October 18, 2017, 06:04:39 pm
Ich hab jetzt nicht alles hier gelesen  - sind ja mittlerweile 5 Seiten :D
Wenn Du jetzt einen PC an das Netzwerk hängst wo Dein AP drin ist - bekommt der dann eine IP-Adresse und hat der Zugriff auf das LAN Netzwerk?
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 18, 2017, 07:01:03 pm
Quote
Ich hab jetzt nicht alles hier gelesen  - sind ja mittlerweile 5 Seiten :D
Wenn Du jetzt einen PC an das Netzwerk hängst wo Dein AP drin ist - bekommt der dann eine IP-Adresse und hat der Zugriff auf das LAN Netzwerk?

Hi Stephan

habe das jetzt mal mit meinem Laptop probiert, das funktioniert einwandfrei. habe jetzt erstmal die Regel ALLOW ANY ANY auf diesem Interface aktiviert, für Testzwecke.

Komme auch auf die Sense rauf... sowie ins Internet, das funktioniert also
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Stephan on October 18, 2017, 07:25:23 pm
Das ist schon mal gut - aber geht auch der letzte , entscheidende Schritt: von Deinem Laptop auf ein Gerät das im anderen Netz hängt?
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 18, 2017, 07:41:52 pm
Das ist schon mal gut - aber geht auch der letzte , entscheidende Schritt: von Deinem Laptop auf ein Gerät das im anderen Netz hängt?

So

hab jetzt den Laptop wieder im WLAN_AP drin, Komme auf den NAS Server und 192.168.0.99 vom 192.168.10.3 Netz einwandfrei drauf, auch auf meinen Switch bekomme ich Zugang.

Code: [Select]
Model:       UAP-AC-Lite
Version:     3.4.14.3413
MAC Address: f0:9f:c2:d6:42:64
IP Address:  192.168.10.2
Hostname:    UBNT
Uptime:      94764 seconds

Status:      Unable to resolve (http://unifi:8080/inform)

Ich werd morgen mal einen Switch am WLAN_AP Interface hängen und dann dort mit dem AP und dem Laptop mal die Unifi Controller Software testen.
Irgendwas passt dem Tool nicht.... im Chrome ist die Zugriff Adresse auch nicht sicher: https://localhost:8443/managed klappt nicht.... 
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 20, 2017, 07:44:06 am
Moin Moin

unglaublich aber wahr.... der AP ist nun mit dem WLAN_AP Interface der OPNSense verbunden und läuft einwandfrei.

Aber:  um diesen einzurichten muss man sich im gleichen Subnetz befinden wie der AP, anders funktioniert das nicht. Ich kann nicht von dem LAN Netz über den UNIFI Controller auf das WLAN_AP Netz zugreifen....

Nichtsdestotrotz ist das ein Super AP mit ordentlicher Leistung.

Jetzt kann ich endlich wieder alles einrichten und zumachen auf der Sense.
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 20, 2017, 11:31:12 am
Hmmm, kann es sein das du per DHCP einen Domainnamen übergeben kannst (solltest), der dem AP dann für den Controler mitgegeben wird?
Status:      Unable to resolve (http://unifi:8080/inform)

sollte zu http://unifi.mydomain.local:8080/inform werden, dann kannst du auf der OPNsense im DNS Resolver einen lokalen Eintrag dafür machen und auf die IP des Controllers im anderen Netz verweisen lassen.
Alternativ wäre auch die "Domain search list" im DHCP möglich, dann sollte das unifi automatisch auch mit der Search List aufgelöst werden.

Vielleicht hilft dir sonst auch https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Device-Adoption-Methods-for-Remote-UniFi-Controllers
Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 20, 2017, 12:10:29 pm
Hi

ja das könnte gut sein. Müsste mir das mal heute genauer anschauen.

Code: [Select]

Model:       UAP-AC-Lite
Version:     3.4.14.3413
MAC Address: f0:9f:c2:d6:42:64
IP Address:  192.168.10.2
Hostname:    UBNT
Uptime:      94764 seconds

Status:      ... (http://192.168.10.5/inform)

steht dann da wenn ich via dem Laptop im WLAN_AP bin und ich per PuttY via SSH auf den AP zugreife.

Title: Re: [UPDATE] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 20, 2017, 03:01:57 pm

sollte zu http://unifi.mydomain.local:8080/inform werden, dann kannst du auf der OPNsense im DNS Resolver einen lokalen Eintrag dafür machen und auf die IP des Controllers im anderen Netz verweisen lassen.
Alternativ wäre auch die "Domain search list" im DHCP möglich, dann sollte das unifi automatisch auch mit der Search List aufgelöst werden.




Und wie stelle ich das an?
Title: Re: [UPDATE#2] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 25, 2017, 07:17:22 pm
Hi

ich glaube das geht irgendwie nicht mit dem Zugriff von der Unifi Controller Software via LAN auf die WLAN Schnittstelle.
Man muss wohl zwingend im gleichen Subnetzwerk sein.

Aber es läuft ja alles erstmal und bin auch mit dem Teil ganz zufrieden.

Nur hab ich jetzt noch zwei Baustellen:

 - OPNVPN möchte ich noch einrichten, damit ich auch von unterwegs Zugriff auf meine Siemens S7-1200 bekomme
 - und meine Xbox One bekommt keine Updates derzeit, gibt es da eine konkrete Anleitung?
 Habe zwar eine gefunden: https://digiex.net/threads/pfsense-step-by-step-guide-to-multiple-xbox-ones-open-nat-play-together-2-3-x.15094/ aber einige Punkte finde ich nicht unter OPNSense


Edit:

hab gesehen das es ein plugin für UPnP gibt... hab das mal installiert. Ich hangel mich mal durch die obige Anleitung.
Auf was muss/soll ich achten damit ich keine Leerdammer Sense bekomme?  ;) :) :o 8)
Title: Re: [UPDATE#2] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 25, 2017, 08:03:55 pm
Plugin UPNP -> Settings
[ x ] default deny

SET1 allow 1024-65535 IPDERXBOX/32 1024-65535


Quote
Auf was muss/soll ich achten damit ich keine Leerdammer Sense bekomme?
Die XBOX vergessen wenn sie so besch....... Anforderungen hat ;-)
ansonsten sollte das obige es aber auf Tilsitter reduzieren xD viele kleine Löcher statt große ... aber wenigstens (NUR) von der XBOX IP
Title: Re: [UPDATE#2] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 25, 2017, 09:58:59 pm
 ;D >:( :D
musste erstmal googeln was du meintest mit Tilsiter.

Hehe.. Ok. Hab's kapiert  :P
Title: Re: [UPDATE#2] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 27, 2017, 07:54:59 pm
Die dämliche Xbox will keine statische IP akzeptieren... und so komme ich irgendwie nicht online...

Auch das mit dem UPnP funktioniert noch nicht so will ich das will...

Was mir aber jetzt aufgefallen ist: kann es sein der der (transparente) Proxy ganz schon den Speed schluckt?

Habe gerade mal nen Speedtest mit und ohne Proxy Umleitung gemacht... das ist mit Umleitung ja nur noch die Hälfte?!
Ist das normal? Gibts da was zum "drehen" das man die eigentliche Bandbreite bekommt?
Habe ja UM mit 150/10 ...
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: fabian on October 27, 2017, 08:25:43 pm
Die dämliche Xbox will keine statische IP akzeptieren... und so komme ich irgendwie nicht online...

Du kannst auch im DHCP Server die IP statisch vergeben - heißt die MAC des jeweiligen Geräts bekommt immer die gleiche IP.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 27, 2017, 09:18:35 pm
Hast du die Xbox denn von Proxyzwang befreit?

Vielleicht geht es ja nur deswegen nicht. Dein ganzer NAT und UPNP Kram passt überhaupt nicht zu einer Firewall in der eigentlich gar kein direkter Zugriff nach außen möglich ist.

Ich glaube du stellst dir selbst ein Bein.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 27, 2017, 10:23:40 pm

Du kannst auch im DHCP Server die IP statisch vergeben - heißt die MAC des jeweiligen Geräts bekommt immer die gleiche IP.

Hi Fabian

Das habe ich ja genau so wie in der Anleitung beschrieben auch gemacht.
Dann ging gar nichts an der Xbox.  Hab dann wieder auf DHCP umgestellt und viola bekomm wieder Verbindung zum Internet aber die Xbox braucht ein bestimmtes NAT um auch Xbox Live zu nutzen.

Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 27, 2017, 10:28:43 pm
Hast du die Xbox denn von Proxyzwang befreit?

Vielleicht geht es ja nur deswegen nicht. Dein ganzer NAT und UPNP Kram passt überhaupt nicht zu einer Firewall in der eigentlich gar kein direkter Zugriff nach außen möglich ist.

Ich glaube du stellst dir selbst ein Bein.

Hi NilsS

Du meinst das ich die Proxy Regel für die feste IP der Box umgehen soll? Hmmm daran hab ich nicht gedacht.  Muss ich mal die Tage probieren.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 27, 2017, 11:17:41 pm
Mal kurz gegoogelt was die Xbox alles an Ports will oO

TCP: 53, 80, 3074

UDP: 53, 88, 500, 3074, 3544, 4500

Orly, sind die nicht ganz dicht.
Bye Bye Webserver,IPSec,DNS



Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: fabian on October 28, 2017, 07:34:26 am
Mal kurz gegoogelt was die Xbox alles an Ports will oO

TCP: 53, 80, 3074

UDP: 53, 88, 500, 3074, 3544, 4500

Orly, sind die nicht ganz dicht.
Bye Bye Webserver,IPSec,DNS

Bist du dir sicher, dass die nicht nur ausgehend sind?
Falls du die wirklich brauchst könntest du ordentlich Probleme bekommen mit TCP+UDP/53, TCP/80, UDP/500, UDP/4500, da diese vermutlich schon von OPNsense belegt sind, und daher gar nicht mehr mit NAT weitergeleitet werden können. Zumindest die Weboberfläche könntest du verschieben.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 28, 2017, 12:19:07 pm
Naja. https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1438_Xbox-One-im-FRITZ-Box-Heimnetz-einsetzen/

Unglaublich.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: fabian on October 28, 2017, 02:12:55 pm
Naja - wenn man es genau nimmt steht da "Portfreigaben
Naja. https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1438_Xbox-One-im-FRITZ-Box-Heimnetz-einsetzen/

Unglaublich.

Naja, wenn man es genau nimmt, steht da "Portfreigaben". Darunter verstehe ich die öffnung des Ports nach außen (pass Regel) und keine Portweiterleitung nach innen.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 28, 2017, 05:10:11 pm
Hi

Danke erstmal für eure Unterstützung und eure Geduld
ich sehe schon... das macht so keinen Sinn und nur für die Xbox so ein "Aufstand" zu machen, sehe ich nicht ein.

Geht ja auch auf Kosten der Sicherheit.

Hab das jetzt ganz anders gelöst: nutze jetzt nur für Xbox das WLAN FritzBox. Das läuft ja autark ohne die OPNSense.

Was jetzt noch fehlt wäre dass man  die volle Bandbreite der Sense nutzen könnte mit aktivem Proxy
Title: Re: [UPDATE#2] OPNSense hinter FB 6490 Cable
Post by: tillsense on October 28, 2017, 07:26:54 pm
Hallo zusammen,

...
ich glaube das geht irgendwie nicht mit dem Zugriff von der Unifi Controller Software via LAN auf die WLAN Schnittstelle.
Man muss wohl zwingend im gleichen Subnetzwerk sein.
muss man nicht und NilsS hatte auch schon den richtigen Hinweis:
Quote
Vielleicht hilft dir sonst auch https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Device-Adoption-Methods-for-Remote-UniFi-Controllers


Ansonsten Portweiterleitungen, -Freigaben, -Öffnen und wie sie es alle nennen immer beim Hersteller in Erfahrung bringen!
-->http://support.xbox.com/de-DE/xbox-360/networking/network-ports-used-xbox-live (http://support.xbox.com/de-DE/xbox-360/networking/network-ports-used-xbox-live)

cheers till
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: NilsS on October 30, 2017, 09:18:59 am
Gerade über das Englische Forum drüber gestolpert, vielleicht hilft dir das.

https://forum.opnsense.org/index.php?topic=3521.0

Scheint wohl (entgegen den Herstellervorgaben) doch auch mit deutlich weniger Ports zu funktionieren.
Title: Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
Post by: Thargor on October 30, 2017, 05:14:26 pm
@NilsS

Danke. Schau ich mir mal an... derzeit läuft die Xbox One ja autark nur über das FB Wlan. Und hängt gar nicht in meinem Heimnetzwerk.