Topics

1

German - Deutsch / simples Firewall Tutorial

« on: April 17, 2023, 07:57:23 pm »

Hallo Leute,

ich bin mit meiner OPNsense jetzt auf eine Hardware umgezogen, die zwar performant genug ist, um mit OPNsense umzugehen und die Weboberfläche braucht nicht 5 Minuten, um umzuschalten zwischen den einzelnen Seiten, aber bei der grundlegenden Einrichtung der Firewall habe ich immer noch Probleme. Ich weiß nicht, ob es mangelndes Grundwisen und/oder Verständnis der Arbeitsweise von OPNsense ist, ich schätze beides. Ich bräuchte ein wirklich gutes Tutorial zur Einrichtung der Firewall regeln oder auch ein Udemy Kurs oder Ähnliches. Die youtube Tutorials sind alle relativ schlecht, habe ich den Eindruck und bei den Dokumentationen steige ich nach 5 Minuten lesen aus.

Der Aufbau meines Netzwerk ist recht simpel:

Code: [Select]

      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   
      |  OPNsense  192.168.1.1/24
      '-----+------'   
            |
        LAN | 192.168.1.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)
Die Rules habe ich angehangen.
Davon abgesehen, dass mein Hintergrundwissen lückenhaft ist, irritiert mich am meisten, dass sobald ich UDP rausnehme bei den "pass"-Regeln, kein Webserver mehr erreichbar ist: Beispiel startpage.com
Ich dachte http und https gehen über das TCP Protokoll. Wozu ist dann UDP notwendig in dem Fall?
Soviel zu meiner konkreten Frage.

Ich hab auch WAN komplett ignoriert, weil ich dachte die Konfig am LAN reicht.

Besten Dank für die Rückmeldungen!

Bogotrax
Btw.: Gibt es einen Discord Channel für OPNsense?



https://postimg.cc/bdxcfTbh

2

Intrusion Detection and Prevention / Proper Ruleset for IDS and Firewall on following detection

« on: January 04, 2022, 04:08:15 pm »

Hello,

suricata spotted following potential thread on my newly setup windows machine. I just connected it and installed some rather not so interesting installs (steam and spotify) on it and it apparently detected the following

Code: [Select]

2022-01-03T20:19:39.244220+0100 2028769 allowed wan 192.168.0.2 59688 34.199.180.185 443 ET JA3 Hash - [Abuse.ch] Possible Tofsee
2022-01-03T20:19:21.464036+0100 2008038 allowed wan 192.168.0.2 52559 34.199.180.185 80 ET USER_AGENTS Suspicious User-Agent (Mozilla/4.0 (compatible ICS))
2022-01-03T20:18:20.113306+0100 2028769 allowed wan 192.168.0.2 20428 3.220.178.226 443 ET JA3 Hash - [Abuse.ch] Possible Tofsee
Can somebody brief me on what that potentially means, and which rules to apply on opnsense firewall. I am rather new to the whole thing and would like to go through some manuals, if somebody could point me towards the approximate passage.
Also, if there is any more suitable part of the board where to address the issue to, I'd be more than glad to get the right direction.
I can't enable IPS since my opnsense setup already chokes on IDS, while suricata is running, so much about that.
Does it look like I have to newly setup the machine and change all passwords or is this a meh message? I totally rely on external help here.

Thanks in advance.

Best,

Bogotrax

3

General Discussion / Swap Partition on OPNsense

« on: December 29, 2021, 08:55:45 am »

Hello guys,

I want to enable a swap file on my opnsense, since I want to use suricata, which eats all my memory and then deaktivates itself.
The cpu is not an issue as far as I can see but my APU is very low on memory. I know how to use a terminal in ubuntu and how to add a swap file in there, so if there is a decent link with commands that i can follow, i would be able to do it in freeBSD, if there is that option. Altohugh I would prefer the WebGUI, if by any means possible.
If specifying my setup helps, I am glad to do so. Just let me know.

Best,

Bogotrax

4

Intrusion Detection and Prevention / suricata deaktivates itself

« on: December 27, 2021, 07:53:23 pm »

Hello folks, may I be forgiven, that I posted this one in the german channel too.
the thread title actually says it. I activated the IDS / IPS service suricata and after about 15-20 minutes the service is automatically deactivated. What can this be related to?
The logfiles don't really tell something

Code: [Select]

2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
Here are Hard- and software parameter:

Code: [Select]


Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)

Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI
     Interfaces of the service and configuration

Code: [Select]


Services: Intrusion Detection: Administration
Enabled (checked)

IPS mode (unchecked)

Promiscuous mode (unchecked)

Enable syslog alerts (checked)

Enable eve syslog output (unchecked)

Pattern matcher (Aho-Corasick)

Interfaces (WAN)

Rotate log (Daily)
There was a german reply, that was interesting so I add it. In how far can this correlate - I don't have these services I guess. "Do you still have Sensei / Zenarmor or netflow active at the same time?"
Did a reset of password - same problem / behaviour.
Can I influence the behavior or activate the service permanently?
Problem: the problem is apparently, that suricata consumes too much memory for the system to handle - what can i do?

5

German - Deutsch / suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 26, 2021, 10:51:26 pm »

Hallo Leute,

der Threadtitel sagts eigentlich schon. Habe den IDS / IPS Dienst suricata aktiviert und nach ca 15-20 Minuten wird der Dienst automatisch deaktiviert. Womit kann das zusammenhängen? Gibt es logfiles, die dort Einblick verschaffen? Kann ich das Verhalten beeinflussen bzw. den Dienst dauerhaft aktivieren?

6

German - Deutsch / Kein Internet über OPNsense

« on: December 17, 2021, 01:12:13 pm »

Ich lasse opnsense laufen auf einer der APU Geräte mit zwei LAN anschlüssen bzw. (WAN und LAN) und komme mittlerweile bis in das Webinterface (192.168.1.105) von meiner Linuxclient Maschine. So weit, ist es gut. Ich kann nur das WAN nicht richtig einrichten. Ich habe ein Modem im Bridge-Modus und ein Router dahinter fungiert als DHCP. Ich habe WAN auf dem OPNsense auf diese Weise eingerichtet im Sinne von: "Empfangen Sie Ihre IP von DHCP!"
Was es anscheinend tut. Also habe ich eine lokale IP für mein OPNsense bekommen
Trotzdem bekomme ich keine Internetverbindung von meinem Linux-Rechner über OPNSense. (Die Protokolle sagen etwas über "falsches Netzwerk", aber ich weiß nicht, ob das überhaupt das richtige Log ist.

Beste Grüße, Bogotrax

P.S.: Ich würde mich sehr freuen, wenn mich jemand in ein geeigneteres Unter-Forum des Forums weiterleiten würde oder mir Hinweise gibt, wie ich meine Frage modifizieren kann, wenn ich zu unkonkret bin.

Kleine Skizze:
      WAN / Internet
            :
            : Modem vom Provider (?)
            :
      .-----+-----.
      |  Gateway  |  Router: TP-Link (192.168.1.1)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.    .------------.
      |  OPNsense  (Web Interface 192.168.1.105)
      '-----+------'      '------------'
            |
        LAN |
            |
           ...-----+------... (Clients 192.168.1.101)