Topics

Guten Tag,

ich habe eine APU Opnsense Firewall (25.7.8) mit der CPU AMD GX-412TC.
Es gibt unter System --> Firmware --> Plugins das Plugin "os-cpu-microcode-amd"

Ist das auch für meien CPU relevant und sollte ich das installieren, also für die AMD GX-412TC / APU?
Bis jetzt hatte ich dieses Plugin nie verwendet.

Ich frage lieber nach weil ich bei einem fehlerhaften Bootvorgang ohne Monitor schlecht eingreifen kann.

Hallo,

aktuell habe ich ein klassisches APU Board mit der aktuellsten opnsense Version.
Das APU Board hat 3 Netzwerkanschlüsse.

Ich plane eine Neuanschaffung von Protectli --> https://eu.protectli.com/product/vp2430/
Oder gibt es für den Heimgebrauch mit wenigen Clients vielleicht was "besseres"?

Meine Frage:
Kann ich die Einstellungen vom APU Board einfach in die Protectli importieren? Ich wollte dann auch ZFS als Dateisystem nutzen
was alktuell auf dem APU Board nicht aktiv ist.
Das alte Board hat ja nur 3 Nics, das neu 4 Nics und dann das andere Dateisystem.
Ich will nicht alles neu konfigurieren, weil mein APU Board sich die Jahre bewährt hat, hat immer alles wunderbar funktioniert.

Vielen Dank

Hallo,

ich habe eine Frage zu dem Punkt "Deny unknown clients" im ISC DHCPv4.

Unter Services --> ISC DHCPv4 --> InterfaceName gibt es den Punkt "Deny unknown clients"
Als Beschreibung steht dort: If this is checked, only the clients defined below will get DHCP leases from this server.

Ist damit gemeint das nur Clients eine IP per DHCP bekommen wenn ich diese vorher unter "DHCP Static Mappings for this interface"
fest eintrage, also die MAC-Adresse des clients und die IP dort hinterlege.
Und muss die fest eingestellte IP dann in dem Range vom DCHP-Server sein?

Hallo,

nutze selten den ssh Zugriff auf meine opnsense im LAN.
Jetzt ist mir folgendes aufgefallen, der ssh Zugriff ist nicht mehr möglich wie früher vor einigen Updates.
Nach dem Login fliegt mein Benutzer sofrt raaus mit folgender Meldung: This account is currently not available.

Habe extra einen Benutzer für ssh angelegt und diesen in die Gruppe SSH eingetragen.
Das klappt aber jetzt anscheinend nicht mehr.

Wenn ich meinem ssh Benutzer jedoch die Gruppenmitgliedschaft des admins gebe funktioniert der Login wieder.

Ist das so gewollt und richtig?
Warum hat man dieses geändert?

Guten Tag,

aktuell habe ich einen Kabelanschluss bei Vodafone.
Um ins Internet zu kommen nutze ich einen VodafoneStation die ich im BridgeMode betreibe, an dieser ist
auch mein Festnetztelefon angeschlossen. Von der VodafoneStation im BridgeMode gehen ich dann auf das WAN-Interface (Kupfer) der Opnsense.

Jetzt gibt es bei mir Glasfaser und ich überlege zu wechseln.
Will aber dann eine opnsense weiterhin nutzen.
Brauche ich für einen Glasfaseranschluss von 1und1 oder auch Telekom zwingend ein Glasfasermoden oder eine Glasfaserfritzbox? Oder kann ich direkt vom Glasfaser-Teilnehmeranschluss auf die WAN-Schnittstelle der opnsense gehen? Da weiss ich dann aber nicht ob das Kupfer ist oder Glasfaser.

Danke

Hallo,

ich habe unbound DNS auf der opnsense und alles läuft eigentlich so wie es soll, bis auf die Namensauflösung im internen Netz. Ich kann z.b. einen ping nur über die IP erfolgreich absetzen z.B:

ping 192.168.2.14 ist erfolgreich
ping pc2 ist nicht erfolgreich

In Unbound DNS habe ich unter General den Haken bei --> Register ISC DHCP4 Leases gesetzt.

Fehlt auf der opnsense noch eine EInstellung oder liiegt der Fehler eher dann beim Client?

Soweit klappt eigentlich alles, Internet, Blocklisten in unbound usw., bis auf die interne Namensauflösung.

Nachtrag:

Services --> ISC DHCPv4 --> bei der entsprechenden Schnitstelle habe ich feste leases eingetragen.
DHCP Static Mappings for this interface.
In meinenm Fall für WLAN, dort habe ich auch unter Hostname den entsprechenden PC-Namen eingetragen.
also bei IP 192.168.2.14 und bei Hostname pc2

Vielen Dank für einen Tipp :-)

Hallo,

ich habe ein APU Board mit:

OPNsense 23.7.11-amd64
FreeBSD 13.2-RELEASE-p7
OpenSSL 1.1.1w

Folgendes Problem habe ich festgestellt, auch mit der Vorgängerversion 23.7.10.

Meine Internetverbindung funktioniert ab und an nicht, kein DNS, kein ping auf eine IP usw...
Es wird einfach alles geblockt.

Ich habe herausgefunden, wenn ich auf der opnsense den Packet Filter (pf) Dienst neu starte funktioniert wieder alles so wie es soll. Dieses Verhalten ist auch schon in der Version 23.7.10 aufgetreten. Es kommt nicht regelmäßig vor, aber das Verhalten ist jetzt schon einige male aufgetreten.

Ist das vielleicht bei anderen auch so?

Hallo,

ich habe einen Vodafone Kabelanschluss und die Vodafone-Station an meiner opnsense (APU-Board).
opnsense ist die aktuelle Version 23.7.10_1, mein Netzwerkplan habe ich im Anhang.

Die Vodafone-Station betreibe ich im Bridge-Mode, diese hat dann die IP 192.168.100.1 und lässt sich auch nicht ändern. Mein WAN-Interface ist auf DHCP gestellt und bekommt dann von der Vodafone-Station die WAN-IP durchgereicht. Das LAN-Inteface an der opnsense hat die IP 192.168.1.1, das WLAN Interface 192.168.2.1.
Ein PC (statisch 192.168.1.10) ist per LAN direkt mit dem LAN-Interface der opnsense verbunden. AM WLAN Interface ist ein AccessPoint (192.168.2.2) angeschlossen.

Vom PC (192.168.1.10) aus erreiche ich das Webinterface der Vodafone-Station (192.168.100.1)
Das hat ca. 2 Jahre auch immer so funktioniert.

Jetzt gibt es Probleme. Vom PC (192.168.1.10) erreiche ich nach einiger Zeit nicht mehr das Webinterface der Vodafone-Station (192.168.100.1) sowie kein Internetzugriff, meistens dann am nächsten Morgen ist das nicht mehr möglich. Ein ping auf z.B. 8.8.8.8 sowie DNS funktioniert auch nicht. Ich erreiche aber vom PC aus z.B. die Weboberfläche des AccessPoints (192.168.2.2) oder den darauf installieren Downloadmanager.  WLAN scheint keine Probleme mit dem Internet dann zu haben, weil ein Rasperry mit WLANRadio funktioniert und die anderen WLAN-Geräte auch. Nur der PC mit dem LAN-Anschluss hat kein Internetzugriff mehr. NAch einem reboot der opnsene erreiche ich wieder die Weboberfläche der Vodafone-Statioon (192.168.100.1) und Internet bzw. ping auf IP und DNS klappt auch wieder.

Wie ist es überhaupt geregelt in der opnsense das ich von 192.168.1.10 auf die Weboberfläche von 192.168.100.1 zugreifen kann? Gibt es da eine Route in der opnsene, weil ich selber habe da nie eine angelegt.
Und müsste ich nicht z.B. mein Netz ändern, also das LAN-Interface an der opnsense von 192.168.1.1 auf 192.168.101.1 ändern, sowie das WLAN-Interface auf 192.168.102.1?

Wie schon geschrieben, es läuft seit 2 Jahren eigentlich ohne Probleme, kam immer auf das Interface der Vodafone-Staion usw.

Vielleicht hat die Vodafone-Staion ein Defekt? Im Log der opnsense steht auch immer das folgendes geblockt wird auf WAN:

0.0.0.0  auf 224.0.0.1 --> igmp Block Bogan IPS from WAN

Oder es liegt an der opnsense, am 12.12.2023 habe ich das Update auf die neuste Version gemacht.
Aber an dem Tag gab es auch "Wartungsarbeiten" seitens Vodafone und seit dem habe ich eine Upload Störung
und die Vodafone-Station zeigt diese Zugriffe mit igmp nach einigen Abstürzen und Zwangsreboots.

Sollte ich meine IPs an der opnsense auf den Bereich der Vodafone Staion ändern?

Hallo,

ich habe einen Kabelanschluss von Vodafone und ein APU Board mit opnsense.
An dem WAN-Anschluss der opnsense habe ich die klassische Vodafone-Station im Bridge-Mode angeschlossen.
Die WAN-Schnittstelle in der opnsense habe ich auf DHCP gestellt.
Das hat auch bis jetzt immer ohne grössere Probleme geklappt.

Ich habe noch einen klassichens IPV4 Anschluss und als WAN-IP immer die selbe IP gehabt. Der EInwahlknoten war
auch in meiner Nähe.

Dann ist mir die Vodafone-Station abgestürzt und danach kjonnte ich keine Internetverbindung mehr herstellen.
Jetzt klappt das Internet wieder aber ich habe jetzt ein Einwahlknoten im raum Stuttgart mit einer angeblichen WAN IP von Kabel BW. Mein Anschluss steht aber in NRW, nicht in BW.

Ist das normal? Vorher hatte ich immer eine IP beginnent mit 80.x.x.x.x , jetzt mit 37.x.x.x.x

Auch wird mein FW Log auf der opnsense geflutet, auf dem WAN Interface. Das kommt also von der Vodafone-Station.

Ist das eine Störung seitens Vodafone?
Internet klappt ja soweit wieder, bis auf den Upload, der ist aktuell zu niedrig.

Hallo, ich habe folgende Hardware:

Vodafone Kabelanschluss
Vodafone Station im Bridgde-Modus (interen IP 192.168.100.1)
opnsense Router (interen IP 192.168.1.1)
WLAN AccessPoint am opnsesne angeschlossen (192.168.2.2)
Linux PC (interne IP 192.168.1.10)


Mir ist heute was komisches aufgefallen. Habe ein Raspi-Internetradio (192.168.2.15) über WLAN, was am spielen war.
Auf einmal war die Musik weg, ich kam aber per Smartphone auf den Raspi, kein Absturz des Raspi oder Abbruch des WLAN's. Nach einigen Minuten funktionierte auch wieder alles wie gewohnt. Ich habe mir nichts böses dabei gedacht, kann ja mal sein das der online Radio Sender ein Problem hat usw. passiert halt mal.

Die Vodafone Station hatte auch nicht neu gestartet, in der Vergangenheit hatte die das gerne mal ab und an gemacht.
Habe die LEDs abgeschaltet, nach einem Neustart blinken die dann immer wie ein Tannenbaum. Muss dann wieder abgeschaltet werden wenn man das nicht mag. War aber nicht der Fall, also kein Neustart dieser.

Jetzt aber schaue ich in meinen Router (opnsense) und sehe folgendes im firewall log:


Interface      Time                                      Source             Destination        Proto     Label     
WAN        2023-09-17T14:12:35    192.168.100.254    192.168.100.71    icmp    Block private networks from WAN


Das "Block private networks from WAN" kann man in der opnsense auf dem WAN Interface auswählen, was ich auch getan habe. Daher kommt der Block in der Firewall. Was ich daran nicht verststehe ist folgendes:

Destination 192.168.100.71 habe ich ja so nicht. Meine Vodafone Station hat intern die IP 192.168.100.1​

Wie die Source 192.168.100.254 (was ja eigentlich ein Broadcast ist und eine private IP) im Internet rumfunken kann verstehe ich auch nicht. ICMP ist ein Ping. Also hat die Private IP 192.168.100.254 ein PING auf 192.168.100.71 gemacht die in meinem LAN gar nicht existiert.

Jetzt habe ich mich auf meiner VodafoneStation eingeloggt weil ich wissen wollte warum ich einen Internetausfall hatte. Deshalb stockte ja das Webradio auf dem Raspi.

Die VodafoneStation hat aber kein Neustart gemacht wie ich erst dachte, online seit 62 Tagen.

Was aber futsch ist ist die Anrufliste, ein Telefon ist noch an der Vodafonestation angeschlossen. Und ich hatte vor 14 Uhr telefoniert, da müsste zu 100% was drin sein. In den 62 Tagen wurde öfters telefoniert, ich weiss auch das was drin stand. Nach einem Reboot der Station ist die Anrufliste immer leer, Aber laut Vodafonestation hat ja kein Neustart stattgefunden.


Kann man das irgendwie erklären, also den Firewall-Log?
Hat da Vodafone "rumgespielt"?

Ich weiss z.B. als ich mal ein Internetproblem hatte und der Techniker von VOdafone am Telefon sagte ich solle meinen PC einschalten um die Internetverbindung zu testen. Ich hatte meinen PC aber schon lange an, Internet hatte aber nicht funktioniert. Da meine er er könne aber meinen PC intern nicht sehen, nur die VodafoneStation, mein PC müsse aus sein.
Mhh.. er käme irgendwie nur bis zur VodafoneStation und nicht weiter.

Das lag dann an meiner opnsese die dem Techniker nicht in mein LAN gelassen hat, vermute ich. Wenn die VodafoneStation im Routerbetrieb allein angeschlossen ist können die Techniker von Vodafone glaube ich sehen welche IPs usw. sich im LAN tummeln.

Weiss da jemand mehr drüber?
Was da passiert sein könnte?

Hallo,

ich habe ein Problem was ich selbstständig leider nicht lösen kann. Ich verstehe es einfach nicht.
Ich habe einen Client mit ArchLinux direkt per LAN an meine opnsense angeschlossen, also kein switch dazwischen.
Als DNS nutze ich unbound auf der opnsense.
Das hat auch alles lange Zeit wunderbar funktioniert ohne Probleme.

Jetzt habe ich aber seit einiger Zeit folgendes Problem:

Ich starte meinen PC, der direkt am LAN Port der opnsense angeschlossen ist. Der PC kommt dann erst mal nicht online.
Ein ping auf google per IP --> ping 8.8.8.8 funktioniert erst mal nicht.
Es dauert immer einige Zeit bis der ping auf eine IP im Internet funktioniert.
Der ping auf die opnsense (192.168.1.1) selber aber funktioniert immer sofort, direkt nach PC-Start.
Also das Netzwerk am PC ist nach meinem Verständnis sofort da und funktioniert auch.

Wenn der Ping auf z.B. 8.8.8.8 funktioniert, komme ich aber per DNS immer noch nicht online.
Ein ping auf www.heise.de z.B. kann nicht aufgelöst werden.

Es dauert jetzt immer einige Zeit, die Zeitspanne ist immer sehr unterschiedlich, mal 30s oder mal auch über 2min bis aufeinmal die DNS-Auflösung dann klappt und die URL aufgelöst wird.

Mein Vermutung ist das es an unbound liegt. Der Fehler ist wohl nach einem Update von opnsense aufgetreten.

Auch ist mir heute folgendes aufgefallen:
PC ist eingeschaltet, aktuell per DNS auch online.
Ich verbinde mich mit dem PC auf den AccessPoint auf der WLAN Schnittstelle und starte des AccessPoint neu.
Der AccessPoint startet neu --> solange der AP im Reboot ist funktioniert am PC noch DNS.
Jetzt ist der AP neu gestartet --> per IP komme ich auf dem AP.
Die WLAN-Geräte (Smartphone) sind wieder mit dem AP verbunden, aber erst mal auch kein Internet wegen DNS.
Und das komische, mein PC, der ja eigentlich gar nichts mit dem AP zu tun hat, hat auch kein Internet.
Nach dem Neustart vom AP ist auch am PC das DNS gestört.

Der unbound Dienst auf der opnsense scheint irgendwie ins stottern zu geraten.

Auf der opnsense ist aber in der Zeit der ounbound Dienst gestartet, per IP erreiche ich ja das Gerät und kann nachschauen.
Ich sehe jedenfalls nicht das dieser deaktiviert ist. oder gerade neu startet.

Im Anhang mal mein Netzplan und Einstellungen von meinem unbound bzw. DNS.

Ich nutze OPNsense 23.1.6-amd64

Ich habe übrigens unter DNS over TLS den DNS von Digitalcourage eingetragen.
Aber auch wenn ich diesen deaktiviere ist der Fehler vorhanden.

Vielleicht habe ich einfach nur den unbound falsch konfiguriert?

Über Hilfe wäre ich sehr dankbar

Hallo,

ich habe ein kleines Netzwerk, ein PC über LAN an der Opensense (aktuelle Updates auf des opnsense sind eingespielt). Jetzt ist mir seit einigen Monaten folgendes aufgefallen.

Wenn ich den PC starte und der Desktop startbereit ist, den Browser dann direkt starte, ist ein Seitenaufbau
erst mal nicht möglich. Ich kann also keine Internetseite aufrufen oder mich auf das Webinterface der
opensense schalten. Es wird nichts angezeigt, es dauert immer erst 30 bis 40 Sekunden bis der Seitenaufbau klappt. Danach klappt alles wie es soll.

Jetzt frage ich mich ob das am PC liegt (Linux) oder ob es die opnsense ist. Nur diese ist ja immer 24/7 an.
Deshalb müsste ja die verbindung auch sofort mit dem Browser (firefox) vorhanden sein.
Als DNS nutze ich auf der opnsense unbound. Kann es eventuell damit zusammen hängen?
Muss Unbound erst mal was mit dem Client aushandeln usw.?

Ein ping auf die opnsense ist sofort möglich, auch der update Befehl von Linux (pacman -Syu) über die shell usw.
Nur der Seitenaufbau ist für die ersten 40 Sekunden gestört.

Neue Plugins im Browser habe ich nicht installiert, nutze nur ublockOrigin.
Ich meine das Phänomen ist erst seit der Umstellung auf unboundDNS aufgetreten.

Hat jemand ein ähnliches verhalten wie bei mir?

Hallo,

ich plane mir neue Hardware für meine opnsense anzuschaffen.
Aktuell habe ich  ein AMD GX-412TC SOC (4 cores, 4 threads) Board mit 3 LAN Ports.
Ein Port fürs LAN, einer fürs WAN und an einem ein WLAN AP dran.
Für Zenarmor (Sensei) ist die Hardware zu schwach, das würde ich gerne zu lernzwecken laufen lassen.
Auch hatte ich die Hardware damals gebraucht gekauft für meine erste opnsense.
Die hat sich bewährt, jetzt will ich die Hardware etwas aufrüsten.

Ich nutze die opnsense rein privat in einem kleinen LAN/WLAN Verbund.
1 PC über LAN angeschlossen und 5 WLAN Endgeräte, also alles überschaubar.

Ich habe das ZimaBoard entdeckt --> https://www.zimaboard.com/
Was haltet Ihr davon? kostet in der besten Ausstattung ca. 200€ und ich kann es mit einer Netzwerkkarte,
z.B. einer Realtek RTL8111 erweitern usw.

Würdet Ihr sowas empfehlen?

Ursprünglich wollte ich ein Protectli, aber das ist preislich eine ganz andere Hausnummer.
https://schroederdennis.de/hardware/protectli-vault-test-firewall-hypervisor-server-barebone-fw4c-vp2410/

Was würdet Ihr empfehlen?

Ein frohes Neues Jahr :-)

ich habe eine Frage zum Log-File in der opnsense und gezieltem blocken einer sich änderene URL.

Ich nutze unboundDNS mit Blocklisten, darunter z.B. eine Facebook Blockliste und andere wie Adguard usw.
Services --> Unbound DNS --> Blocklist
Wenn ich z.B. facebook.com im Browser eingebe wird diese auch geblock und nicht angezeigt --> Seiten-Ladefehler.
Also das Blocken klappt. DIe URL ändert sich ja auch nie.

Das Logging unter UnboundDNS habe ich eingeschaltet:
Services --> Unbound DNS --> Advanced --> Log Queries habe ich den Haken gesetzt

Jetzt wird auch unter Unbound DNS --> Log File unter Informational der Zugriff angezeigt.

Ob das geblockt wird sehe ich jetz aber nicht, nur das die Seite aufgerufen wurde.

Folgender Hintergrund:
Bei Facebook weiss ich ja das die Seite geblockt wird, weil diese wird im Browser ja nicht mehr angezeigt.
Ich nutze aber auch mein Smartphone im WLAN mit einer Xiaomi-Home Sauger App. Die hat Tracker und Verbindungen zu facebook und China. Viele sind für den Betrieb der App nicht wirklich nötig. Will nur die notwendigen Verbindungen zulassen.

Unter dem Log taucht beim Start der Sauger-App folgendes auf:

2023-01-01T13:17:22   Informational   unbound   [25933:3] info: 192.168.2.99 awsde0.fds.api.xiaomi.com. A IN   
2023-01-01T13:17:22   Informational   unbound   [25933:1] info: 192.168.2.99 awsde0.fds.api.xiaomi.com. A IN   
2023-01-01T13:17:15   Informational   unbound   [25933:2] info: 192.168.2.99 de.home.mi.com. A IN   
2023-01-01T13:17:15   Informational   unbound   [25933:1] info: 192.168.2.99 fr.resolver.msg.global.xiaomi.net. A IN   
2023-01-01T13:17:15   Informational   unbound   [25933:2] info: 192.168.2.99 fr-app-chat-global-xiaomi-net-1516654448.eu-central-1.elb.amazonaws.com. A IN

Wie kann ich gezielt einzelne Verbindungen blockieren.
Die letze URFL z.B. ändert sich ständig.
awsde0.fds.api.xiaomi.com und de.home.mi.com. sind für den Betrieb glaube ich notwendig.

fr.resolver.msg.global.xiaomi.net und fr-app-chat-global-xiaomi-net-1516654448.eu-central-1.elb.amazonaws.com
sind so glaube ich nicht umbeding notwendig und ändern sich auch immer.

Diese beiden urls möchte ich testweise einfach mal gezielt blocken, nur weiss ich nicht wie weil ständig die url anders ist.

Hallo,

ich habe eine Frage die sich vielleicht nicht direkt auf die opnsense bezieht.
Es geht um FW-Regeln und die Oktette bei den Source und Destination IPs.

Ich habe ein LAN mit dem Client 192.168.1.10 und ein WLAN mit CLients, z.B. 192.168.2.14.
Die beiden Netze sind durch die FW getrennt.

Jetzt möchte ich aber mit dem Client 192.168.1.10 auf eine Sambafreigabe auf 192.168.2.14 zugreifen.
Dafür erstelle ich dann eine Regel auf dem LAN Inferface.
Dazu habe ich eine Frage zu den Oktetten bzw. zu den IPs die man angeben soll, kann.

Source 192.168.1.10/32 --> bedeutet nur die IP 192.168.1.10 ist als Source erlaubt
Destination --> 192.168.2.14/32 --> bedeutet nur die IP 192.168.2.14 ist als  Destination erlaubt
Alle anderen haben kein Zugriff

Wenn ich es so eintrage:
Source 192.168.1.10/32 --> bedeutet nur die IP 192.168.1.10 ist als Source erlaubt
Destination --> 192.168.2.14/24 --> bedeutet alle IPs im 4 Oktett sind erlaubt 192.168.2.x

Dazu meine Frage:
Wenn alle IP's im 4 Oktett so erlaubt sind, dann kann ich doch auch theoretisch dort jede beliebe IP aus dem Oktett eintagen, oder?
Also könnte ich auch 192.168.2.125/24 eintragen und ich hätte trotzdem Zugriff auf 192.168.2.14?
Oder gilt das dann ab Client mit der IP 192.168.2.125?
Oder macht es Sinn 192.168.2.1/24 einzutragen?

In der Doku habe ich dazu nur das hier gefunden:
Inspecting used netmasks is also a good idea, intending to match a host but providing a subnet is a mistake easily made (e.g. 192.168.1.1/32 vs 192.168.1.1/24 is in reality all of 192.168.1.x).

Wie macht Ihr das in diesem Fall?

Hallo,

ich habe eine Frage zu Torrent Downloads.
In meinem interne LAN habe ich an der WLAN Schnittstelle von der opnsense einen AccessPoint mit openwrt angeschlossen.
Auf diesem AccessPoint habe ich aria2 (Downloadmanager) installiert.

Klassische Downloads funktionieren ohne das ich extra in opnsense was in der Firewall freigeben musste.
Bittorrent klappt aber nicht, es kommt keine Verbindung zu stande, z.B. beim Torrent von LinuxMint.

Muss ich damit Bittorrent funktionieren kann (weil ja auch eine ausgehende Verbindung aufgebaut werden muss) das Plugin os-upnp installieren? Hatte das im englischen Forum mal gelesen aber nicht ganz verstanden. Wenn ja, reicht das dann aus ohne das ich Ports extra in der Firewall öffnen muss?  Und was macht da os-upnp, wofür wird das gebraucht?

Ist das dann eigentlich ein "Sicherheitsrisiko" weil ja die Firewall Ports öffnen muss?

Hallo,

ich bin Einsteiger was opnsense und Netzwerke angeht.
Aber ich interessiere mich allgemein für IT Sicherheit und möchte aus Interesse ein GAST-WLAN einrichten um einen Saugroboter aus China etwas besser unter Kontrolle zu haben. Ich will das Gerät nicht in meinem allgemeinem WLAN haben.

Ich habe einen 10 Jahre alten AccessPoint aus dem "Müll" gerettet und mit openwrt wieder neues Leben gegeben.

Meinen Netzwerkplan habe ich im Anhang hochgeladen.
Es ist eigentlich eine einfache Struktur, ein Vodafone Kabelanschluss mit der VodafoneStation im Bridge-Modus, daran
per DHCP die opnsense die insgesamt 3 LAN Schnittstellen hat. Eine WAN, die an der Vodafone Station hängt, eine die als LAN fungiert und eine die als WLAN fungiert.

An der WLAN Schnittstelle ist eine AccessPoint Aerohive121 mit openwrt angeschlossen. Der Aerohive121 ist ein reiner AccessPoint und hat nur 1 LAN Schnittstelle.

Hier ist das Gerät verlinkt: https://openwrt.org/toh/aerohive/ap121

Jetzt gibt es Anleitungen bei openwrt wie man ein Gast WLAN einrichtet, aber das bezieht sich eigentlich immer auf Router mit mehreren Netzwerkschnittstellen. Dort werden dann vlans erstellt usw. Den Eintrag SWITCH z.B. habe ich auch gar nicht in openwrt bei mir.

So wie ich das in dem Link vom Gerät sehe, beherscht der Aerohive121 keine vlans. Bei vlan steht da ein umgedrehtes Fragezeichen.

Es gibt auch Anleitungen wie man das ohne vlan hinbekommen kann, jedoch ist da dann immer eine WAN-Schnittstelle im Spiel. Diese habe ich ja eigentlich auch nicht. Auch habe ich die Firewall, DNS und DHCP auf dem Aerohive121 abgeschaltet weil ich ja die opnsense habe. Die macht DHCP, DNS und Firewall auf dem WLAN Interface.

Das mit der fehlenden WAN Schnittstelle beschreibt auch jemand im openwrt Forum so: https://forum.openwrt.org/t/archer-c7-v5-0-access-point-with-separate-guest-wifi/137061/4

Code Select Expand

That's a problem because you cannot differentiate lan/wan by firewall zone since your Internet connection is provided by lan, not wan.

I do the guest routing on the main router in the basement (which does not have WiFi at all) and use tagged VLANs to have both zones, i.e. lan and guest, available at the AP. My APs only have one single Ethernet connection. Is this similar to your setup?

Meine Frage:

Ist es möglich auf der opnsense ein vlan zu erstellen, welches ich z.B. dann eine IP 192.168.3.1 gebe um dann auf dem Accesspoint an der einen LAN-Schnittstelle die ja aktuell 192.168.2.2 hat noch zusätzlich die IP 192.168.3.2 habe um ein Gast WLAN zu erstellen? Oder muss der Aerohive121 dafür vlan Fähigkeiten haben.

Ich frage das weil mir vlans noch überhaupt nicht vertraut sind.
Auch finde ich diesen Lösungsansatz schöner, weil der Aerohive121 soll eigentlich nur ein "dummer" AccesPoint bleiben, ohne extra Firewall, DHCP usw. Weil dann müsste ich 2 Firewalls verwalten.

Vielen Dank

Sorry, das ich noch mal Nachfragen muss, aber ich verstehe das leider immer noch nicht.

Es gibt Blocklisten z.B. von Spamhaus.org.

In der OPNSENSE-Doku wird erklärt wie man diese einrichtet:

https://docs.opnsense.org/manual/how-tos/edrop.html?highlight=spamhaus

Soweit verstehe ich das auch, aber nur eines verstehe ich da einfach nicht.
Es sollen Eingehende Vertbindungen auf dem WAN Interface geblockt werden und deshalb wird eine Regel dafür auf WAN erstellt.

Warum ist diese Regel auf WAN überhaupt nötig?
WAN blockt doch von Hause aus eh schon alles, oder etwa nicht?
Das verstehe ioch einfach nicht.

Diese Regel verstehe ich einfach nicht. Und überall wo ich lese oder videos darüber schaue, jeder legt diese Regel auf WAN an.

Guten Tag,

ich will mein internes LAN und WLAN etwas "sichere" machen.
Aktuell gibt es jeweils eine Standrad-Regel die intern alles erlaubt, also im LAN sowie im WLAN.
Das will ich jetzt ändern und nur die Ports erlauben die ich für "empfohlen" halten.

Ich bin noch Anfänger und habe mich etwas eingelesen.
Es funktioniert z.B. über Aliases.
Bei Typ wähle ich Ports aus und bei Content trage ich z.B. 80 443 68 usw. ein

Ich nehme in der Firewall die Standard-Erlaube-Alles Regel raus und erstelle einen neue Regel, die Erlaubt und wo ich den erstellten Alias auswähle.

Dazu habe ich drei Fragen.
1.)Besteht die Gefahr das ich mich vom Web-Interface der opnsenese aussperre?
Also wenn ich den Port 443 z.B. vergesse, das ich nicht mehr auf meine opnsense komme?

2.) Auf dem WLAN Interface habe ich ein DHCP Server laufen.
Muss ich diesen auch dann erlauben? Ist das dann Port 68?
Sowie ich auch den DNS Port erlauben muss?

3.) Wie stelle ich das am besten an um herauszufinden welche Apps auf dem Smartphone welche Ports benötigen?
Z.B. bei whatsapp oder telegram

Vielen Dank

Hallo,

bin leider noch Anfänger was Firewall und Regelwerk angeht.

In der FW ist unter LAN eine Standard-Regel die im LAN alles erlaubt.

IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Macht es sicherheitstechnisch Sinn diese Regel zu löschen und geziehlt einzelne Ports zu öffen.
Also z.B. Port 80 und Port 443 für den Webbrowser usw?

Oder ist das OK so wenn ich das so lasse?

Ich habe 3 Regeln unter LAN insgesamt:
1.) IPv4 TCP    192.168.1.10/24    *    192.168.2.16/24    445 (MS DS)    *    *    Sambafreigabe auf WLAN-Gerät
2.) IPv4 *    LAN net    *    WLAN net    *    *    *    Kein Zugriff vom LAN auf WLAN
3.) IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Regel 1 ist für eine Sambafreigabe auf einem Gerät im WLAN. So kann ich vom LAN auf ein WLAN-Gerät zugreifen per SMB
Regel 2, damit blockiere ich sämtlichen weiteren Zugriff vom LAN auf das WLAN
Regel 3 ist die Standardregel die alles im LAN erlaubt.

Auf dem WLAN Interface habe ich diese Regel erstellt:

1.)     IPv4 *    WLAN net    *    LAN net    *    *    *    Kein Zugriff vom WLAN auf LAN

Damit blockiere ich den Zugriff vom WLAN auf das LAN.

Sind diese Regeln soweit ok?
Macht es Sinn die Standard-Regel zu löschen?

Vielen Dank