Topics

Hi,

mein WAN Interface liegt im Netz 192.168.0.0/24 und mein LAN im 192.168.1.0/24.
Davor rödelt ein Speedport Hybrid Router im WAN Netz.

Nun habe ich IDS aktiviert und das Testruleset OPNsense-App-detect/test heruntergeladen. Es wird mir als enabled angezeigt. Input Filter ist auf drop gestellt. Rule ist ebenfalls drop.

Wenn ich nun den Eicar Testvirus herunterlade, dann wird der Download nicht geblockt. Ich sehe in den IDS Logs, dass Eicar erkannt wurde (auf beiden Interfaces, WAN und LAN), aber Action ist allowed.

Kann mir das mal jemand erklären?

Viele Grüße
Marco

Moin,

ich steh gerade etwas auf dem Schlauch:
Hier läuft eine OPNSense unter VMWare, die aber komplett im privaten Netz hängt:

WAN: 192.168.0.0/24
LAN: WAN: 192.168.1.0/24

Und noch diverse WLAN Netze...
Im WAN Netz hängt dann der Speedport Hybrid. Das WANGW (Default) zeigt auf den Hybrid Router. An allen Clients ist die OPNSense (192.168.1.1) als Gateway eingetragen. Outbound NAT steht "Automatic".

Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen. Dafür habe ich im WAN eine Testregel gebaut:

Deny ALL TCPv4/ICMP DST any SRC any

Somit dürfte kein Client in der Lage sein, ins Internet zu pingen. So dachte ich zumindest. Aber es funktioniert trotzdem. Im Log sehe ich:

destination:172.217.22.35 message:<134>Feb 27 15:54:25 filterlog: 78,,,0,vmx0,match,pass,out,4,0x0,,63,16734,0,none,1,icmp,84,192.168.0.1,172.217.22.35,datalength=64 aid:16,734 syslog_program:filterlog input_interface:vmx0 myoffset:0 flags:none host:192.168.1.1 source:192.168.0.1 ip_version:4 syslog_timestamp:Feb 27 15:54:25 syslog_pri:134 tos:0 action:pass

Wo liegt mein Fehler?

Gruß
Krümel

Hi,

I want to migrate my OPNSense installation running on APU2C4 hardware to VMWare vSphere 6.5 U2 for performance reasons.

So I exported my configuration on production side and deployed a fresh installation of OPNSense on a vSphere VM. I created all interfaces with same names as on my hardware installation, then imported my production configuration. After rebooting, I re-assigned the physical interfaces to new virtual ones and thought I was ready to go. The VM booted and I get to the point where all interfaces are listed with IP addresses. But then the system freezes. I don't get any menue and can't ssh into the machine.

My guess is: I haven't installed any plugins yet, such as ACME, freeRadius, haproxy... things like that. Can this root cause this behaviour? Are there any best practices to get a physical OPNSense installation migrated to virtual?

Thanks and best regards
Kruemel

Moin,

folgende Situation:
Speedport Hybrid (192.168.0.1) => OPNSense DMZ (192.168.0.2) => OPNSense LAN (192.168.1.1)

Nun habe ich meine Telefonanlage in der DMZ stehen, also im 192.168.0.0/24 Netz. Solange da nur DECT Telefone unterwegs sind, klappt das auch prima. Doch wenn ich nun einen SIP Client benutze, dann kann der sich auch aus dem LAN in die DMZ verbinden (von LAN in die DMZ ist alles erlaubt) und auch einen Anruf auslösen, aber auf dem SIP Telefon im LAN kann ich nix hören.

Ist ja auch irgendwie logisch, denn die Defaultroute in der DMZ ist die 192.168.0.1.
Wie kriege ich es nun hin, dass der Traffic aus der DMZ auch wieder ins LAN findet? Klar, ich muss ne Route einrichten, aber dann muss ich doch der TK Anlage ein anderes Gateway mitteilen, oder?

Wie muss ich da vorgehen?

Danke und VG
Krümel

Moin,

meine OPNSense steht hinter einem Telekom Speedport Hybrid Router und hat als WAN Adresse die 192.168.0.2. Das LAN ist 192.168.1.0/24, daneben gibt es mehrere Netze für WLAN, Gäste WLAN und IoT Netz.

Wenn ich nun z.B. aus dem Gäste oder IoT Netz Zugang für Port 80 und 443 fürs Internet aufmache, muss ich bei Destination "any" angehen, denn das WAN Interface ist für die opnsense in meinem Fall ja nicht "das Internet".

Somit stehen aber auch interne Dienste den potenziellen Angreifern in diesem Netz, z.B. der Reverse Proxy der opnsense oder auch andere HTTP Dienste im LAN.

Wie kann ich also Zugriff ins Internet gewähren, ohne gleichzeitig meine anderen Netze zu öffnen?

Danke und VG
Krümel

Hi,

neben WAN (192.168.0.0/24) und LAN (192.168.1.0/24) wollte ich ein drittes Netz für WLAN aufmachen. Die Pläne sind, 192.168.2.0/24 für internes WLAN und 192.168.3.0/24 über VLAN Tagging für Gäste WLAN auf igb3 aufzulegen. So der fromme Wunsch, allerdings scheitere ich schon viel früher. Ich widme mich also erstmal nur dem internen WLAN Netz ohne VLAN Gedöns.

Ich habe das igb3 mit der IP 192.168.2.1 konfiguriert und ein Gateway dafür mit derselben IP definiert. Die Routing Table sieht so aus:

ipv4   192.168.0.0/24   link#2   U   10777   1500   igb1   wan   
ipv4   192.168.0.2   link#2   UHS   0   16384   lo0       
ipv4   192.168.1.0/24   link#1   U   129422   1500   igb0   lan   
ipv4   192.168.1.1   link#1   UHS   0   16384   lo0       
ipv4   192.168.2.0/24   link#3   U   6   1500   igb2   WLAN_intern   
ipv4   192.168.2.1   link#3   UHS   864   16384   lo0   

Das Gateway ist aus dem 192.168.1 Netz pingbar und vice versa. Nun klemme ich zum Testen mal ein opensuse Server an, mit folgender Konfig:

IP 192.168.2.2
Maske: /24
Gateway: 192.168.2.1

Nach meinem Verständnis, sollte die Kommunikation so funktionieren. Aber nichts tut sich. Ich kann weder von der Sense die Server IP erreichen noch kann ich vom Server das Gateway pingen.

Wo ist mein Denkfehler?

Danke und Gruß
Krümel

Moin,

ich versuche seit einiger Zeit, meinen HAProxy mit Zertifikaten von Letsencrypt auszustatten, um HTTPS nutzen zu können. Leider klappt das nicht.

Ich betreibe die Sense an einem IP Anschluss mit dynamischer IP und benutze sowohl selfhost.bz als auch duckdns.org als DDNS Provider. Bei einer meiner Domain habe ich CNAME Einträge auf diese DDNS Provider gesetzt, so dass z.B. meine.domain.de auf die DDNS Einträge gehen. Funktioniert soweit. Ich kann auch mit DNS Validation ein Zertifikat für DucksDNS beziehen, geht auch.

Nun möchte ich aber Zertifikate für meine CNAME Eintröge erstellen lassen, DNS Validation scheidet aus. Ich muss also den HTTP Weg benutzen.

Beim generiieren bekomme ich aber immer die Meldung:
The domain key is here: /var/etc/acme-client/home/hmeine.domain.de/meine.domain.de.key
[Sun Mar 18 11:52:26 CET 2018] Create domain key error.

Der domain key liegt auch in diesem Pfad und enthält auch einen Schlüssel.
Ich habe den HAProxy so konfiguriert, dass die ACME Challenge erreichbar sein sollte. Wenn ich also http://meine.domain.de/.well-known/acme-challenge/ aufrufe, erhalte ich einen 403. Vermutlich, weil ich eben den Verzeichniscontent nicht browsen darf und nicht genau weiß, welche URL ich genau aufrufen müßte um zu prüfen, ob die Validation sie auch richtig erreichen kann.

Ansonsten keine Fehler.
Kann mir mal jemand nen Schubser in die richtige Richtung geben?!?

Danke und Gruß
Krümel

Moin,

und wieder mal eine NAT Anfängerfrage:
Ich möchte Port 8080 auf 192.168.1.6 weiterleiten. Vor der opnsense hängt ein Speedport Hybrid, (192.168.0.1) dort habe ich eine Portweiterleitung von Port 8080/TCP auf das WAN if von opnsense eingerichtet (192.168.0.2).

Vorher hat die Weiterleitung die Fritzbox übernommen, funktionierte prima. Doch mit opnsense bekomme ich es leider nich hin. Habe mal einen Screenshot von der NAT Regel angehängt. In den Logs kann ich auch keinen Block auf den Port erkennen. Habe ich was vergessen?

VG
Krümel

Moin,

nachdem ich nun schon zwei Abende rumprobiert, gegoogled und einige graue Haare mehr habe, wende ich mich nun ans Forum in der Hoffnung, dass mir jemand sagen kann, was ich falsch mache.

Meine Konfiguration:

Internet <-> Speedport Hybrid Router (192.168.0.1) <-> opnsense WAN (192.168.0.2) <-> opnsense LAN (192.168.1.1) <-> Fritzbox 7490 Client VoIP (192.168.1.7)

Ich bekomme es einfach nicht hin, dass VoIP stabil läuft. Hauptproblem ist, dass mich die Gegenstelle nicht hören kann. Umgekehrt funktioniert es aber.

Folgende Settings hab ich:
NAT - Outbound; Hybrid Outbound NAT
NAT: WAN udp static

NAT Portforwarding 5070, 5080, 30000:31000, 40000:41000, 5004, 7072, 7070
Firewall Rule UDP outgoing: 5060, 30000:31000, 40000:41000, 3478, 3479

Wenn die opnsense nicht "mitspielt", funktioniert das VoIP auf der Fritzbox hinter dem Speedport Hybrid problemlos.
Würde mich über etwas Hilfe sehr freuen.

Danke und Gruß
Krümel