Messages

ich mache es ganz einfach mit le für das webui.
läuft seit monaten gut bei mir

Hallo micneu,

darf ich fragen, wie Du es realisiert hast?

• acme-client installiert
• dyndns (bspw. über no-ip) namen vergeben
• acme-client konfiguriert
• Hier vor allem DNS-01 challenge konfiguriert, oder?

Kommt das hin?

Danke und Gruß
RiC

Hi Community,

kann mir jemand weiter helfen.

Ich habe aktuell zwei Internetanbindungen und würde gerne beide nutzen.

Nach Möglichkeit unterschieden nach VLAN.

Bsp. :

- VLAN 10 nutzt in Richtung Internet WAN-Intercace 2
- VLAN 40 nutzt in Richtung Internet WAN-Intercace 1
- usw.

Ich brauche kein Failover oder Loadbalancing.

Vielleicht hat ja auch jemand ein gutes Tutorial parat.

Vorab, wie immer, vielen, herzlichen Dank für jede Hilfe!

Gruß Ric

Guten Abend Klaus,

einfach mal so ins Blaue :

- ich würde mal Kabel tauschen
- was sagt die MTU?
- mal beim Provider anrufen und Leitung   
   prüfen lassen

Gruß Ric

Hi there,

as this topic may better be placed here, I hope for your reply.

Since I updated my OPNSense to v 19.7.7 and now 19.7.8, the update of the IPS rulesets cause problems.

In v19.7.7 the updates lead to some kind of denial of service. The whole FW stopped working until I did a hard reboot (power chord in/out).

Now under v19.7.8, the Firewall and internet is accessible again after a while, but the suricata deamon won't come up again.

Anybody facing the same problem out there?

Thanks in advance for your reply!

Regards Ric

Hi all,

after an update to v19.7.8, the problem still exists but changed.

Access to Internet and Firewall webinterface works again after a while, but the suricata deamon doesn't come up again, after updating the rulesets.

Does anybody have the same problem?!

Thanks in advance,

Regards Ric

Hi there,

since I updated my OPNSense to v. 19.7.7, my Box runs into "DOS" when updating my IPS rulesets.

First I thought it only happens when updating automatically through my scheduled tasks, but it also happens when updating manually.

Anybody out there, who has the same probs?

For me it also looks like v19.7.7 needs much more RAM then former Versions. Is that correct?

Thanks for your replies!

Regards
Ric

Hallo zusammen,

habe das "Problem" wohl für den Moment gelöst. Zumindest sieht es so aus.

Vielleicht hilft es ja auch jemand anderem:

Ich habe bei mir IPS aktiv (Dienste - > Einbruchserkennung). Die aktuellsten Regelwerke lade ich über einen Zeitplan (täglich 12:00 Uhr) herunter.

Hierbei bleibt die Box nach dem aktuellsten Update auf 19.7.7 wohl immer hängen. Das Deaktivieren des Zeitplans löst es fürs Erste, auch wenn es natürlich nicht wirklich eine Lösung ist.

Mal schauen wie es sich nach zukünftigen Updates verhält...

Gruß Ric

Edit: Habe gerade auch nochmal manuell aktualisiert, dass funktioniert einwandfrei.

Edit Edit: Doch nicht, auch das manuelle Update hat jetzt zum Stillstand geführt....

Noch jemand, der das Problem hat?!

Hallo zusammen,

habe gestern meine OPNSense auf die aktuellste Version aktualisiert:

OPNsense 19.7.7-amd64
FreeBSD 11.2-RELEASE-p16-HBSD
OpenSSL 1.0.2t 10 Sep 2019

Seit dem Update ist mir die Box mittlerweile zwei mal ausgestiegen. Heißt, Internet geht nichtmehr, keine internen Netzzugriffe mehr möglich, beim Zugriff aufs Webinterface läuft die Box in einen Timeout. Konnte bis jetzt noch keinen Zusammenhang herstellen, warum das so ist. Es hilft dann nur Stecker raus und wieder rein.

Vielleicht schau ich beim nächsten Mal auf die Konsole.

Hat sonst noch wer Probleme in dieser Richtung seit dem Update?

Habe ein APU-Board und seit dem Update liegt die Speicher auslastung bei konstanten 79%. Kann allerdings nicht sagen, ob es vorher auch schon so war...

Ist die Hw mit dem neusten Update vielleicht "schon" am Limit?

Vorab herzlichsten Dank für jegliches Feedback!

Gruß
Ric

Richtig.

Du wirst ein bestimmtes "Set" an Ports aus LAN 1 zum Exchange benötigen.

Wenn Deine erste Rule (any to Internet) die privaten Adressbereiche nicht ausschließt, sind hier wohl nicht alle nötigen Ports enthalten. Dafür würde ich aber ohnehin zwingend eine eigene Regel bauen!

Gruß Ric

Edit: Wie kannst Du den Server von Außen erreichen? Port forwarding?

Guten Morgen allerseits,

Wer nutzt dieses Setup mit 1&1?

Müsst ihr auch zusätzlich die Highport-Range freigeben (für den direkten RTP-Strom von Punkt zu Punkt) 16384 bis 32767?

Danke für Rückmeldungen!

Gruß
Ric

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN.  ;)
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

Tja, hier wird es laufend mehr. :)

LAN:  Das private Grundnetz
GUESTS:    Für Gäste inkl Captive Portal
VOIP:   Für die Fritze als DECT Basis im Telekom Netz.
SECURITY:  IP-Cams zur Sicherung der Aussenanlagen wie Carport, Garage usw
MEDIA:  Alles was mit Smart TV, Sonos, MusicCast, Kodi, DLNA usw zu tun hat.
GAMING:  Für die Spielkonsolen, ist nicht notwendig, haben aber im LAN nichts zu suchen.
MGMT:  Switches, APs, USV, Host mit installiertem Unifi Controller und Freeradius.  Authentifizierung im WLAN mittels WPA2-Enterprise inkl. VLAN Zuweisung in das richtige Netz.

Das ist der aktuelle Stand. Für Privat bissl oversized, aber wenn es geht, warum nicht.
Zumindest LAN, VOIP und dieses Smart Geraffel inkl. IoT Gelumpe würde ich persönlich trennen.

Bin da völlig bei Dir.

Danke fürs teilen!

Ich seh das alles auch als Invest in die Zukunft, weniger IT-Equipment wirds definitiv nicht. Je eher man da sicherheitstechnisch vorsorgt, je besser.

Is halt auch Arbeit... :)

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN.  ;)
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

moin, die telefonnummern habe ich direkt in der flitzebogens eingetragen.



nur diese eine regel, bei mir läuft das so.



Gesendet von iPad mit Tapatalk Pro

Keinerlei FW-Regeln nach Außen?

Oder erlaubst Du, in dem Subnet in dem sich die Fritzbox, ohnehin "any" nach Außen?

Habe 1&1 und muss die Highport Range aufmachen, damit ich was höre, oder stimmt was noch nicht?

Hi darkness_08,

gleiches Setup bei mir.

Warum manche keine Regeln brauchen neben dem NAT Outbound kann ich mir nur so erklären, dass hier nach "Extern" any erlaubt ist.

Für den RTP Strom (Punkt zu Punkt) wird die High Port Range benötigt, nur so hat es bei mir hingehauen.

Von der FB ins WAN (any) - - > 16384:32767 allow

Edit: Portweiterleitung brauchst Du keine!!! Daher ist bei der NAT Outbound Regel "static" wichtig.

Gruß Ric

Hier mein Netz

Ich habe mein Entertainment Kram alles mit in meinem normalen lan, währe mir zu viel Aufwand das nochmal zu unterteilen


Gesendet von iPhone mit Tapatalk Pro

Hi micneu,

danke für Deine Antwort!

Wäre mir wiederum zu "flach", aber administrativ definitiv nachvollziehbar.

Darf ich fragen wie Du VoIP in der FB hinter der OPNSense zum laufen bekommen hast?

Hab mich hieran orientiert :
https://forum.opnsense.org/index.php?topic=4712.0

Die Nummern konnte ich mittlerweile registrieren, aber telefonieren ist noch nicht...

Kannst Du mir mir mal Deine FW-Regeln + Outbound-NAT zeigen?

Tausend Dank vorab!

Gruß Ric