Messages

Hello OPNsense Freunde,

irgendwie habe ich meine Config bei obigen Plugins/Pckgs vermurckst - ein Neu-Install hat nix gebracht, da die Web Konfig behalten wird und ich so nicht wieder "von vorne" anfangen kann. Daher die Frage, wie resette ich diese?

Aber nun zum Problem. Ich behaupte, ich bin vorgegangen wie in [Setup Transparent Proxy](https://docs.opnsense.org/manual/how-tos/proxytransparent.html#setup-transparent-proxy) beschrieben :)

Rufe ich dann den EICAR via http auf (http://www.rexswain.com/eicar.html) bekomme ich die Warn-Meldung. Rufe ich per https auf (https://www.eicar.org/?page_id=3950) kommt keine Meldung - ich kann ungehindert runterladen. Eine kurze Zeit bekam ich diesen auch mal zu sehen, plötzlich nicht mehr. Im FF konnte ich oben sehen "zertifiziert von HomeLAN CA" (oder so - meine self-signed interne CA). Chrome ist da zickiger. Das self-signed CA CRT habe ich system-wide auf meine Fedora Installation gebracht, was im FF auch als "System Trust" in der Zertifikatsverwaltung angezeigt wird.

Auf der Sense laufen all Prozesse (es gab auch mal lt. Logs einen Crash, daher die oben erwähnte Neuinstallation):

Code Select Expand


admin@OPNsense:~ % sudo sockstat  -l | egrep '(clamav|icap|squid)'
c_icap   c-icap     35415 5  tcp6   *:1344                *:*
c_icap   c-icap     28209 5  tcp6   *:1344                *:*
c_icap   c-icap     57726 5  tcp6   *:1344                *:*
c_icap   c-icap     3990  5  tcp6   *:1344                *:*
clamav   clamd      78715 4  tcp4   127.0.0.1:3310        *:*
clamav   clamd      78715 5  stream /var/run/clamav/clamd.sock
squid    squid      68856 11 udp46  *:25886               *:*
squid    squid      68856 20 udp4   *:58766               *:*
squid    squid      68856 47 tcp4   127.0.0.1:3128        *:*
squid    squid      68856 48 tcp6   ::1:3128              *:*
squid    squid      68856 49 tcp4   127.0.0.1:3129        *:*
squid    squid      68856 50 tcp6   ::1:3129              *:*
squid    squid      68856 51 tcp4   192.168.20.1:3128     *:*
squid    squid      68856 52 tcp4   192.168.1.1:3128      *:*
squid    squid      88504 9  dgram  (not connected)

mit

Code Select Expand


admin@OPNsense:~ % cat /usr/local/etc/squid/squid.conf
http_port 127.0.0.1:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port [::1]:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port 127.0.0.1:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port [::1]:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.20.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.1.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/squid/ssl_crtd -M 4MB
sslcrtd_children 5
tls_outgoing_options options=NO_TLSv1 cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
acl bump_step1 at_step SslBump1
acl bump_step2 at_step SslBump2
acl bump_step3 at_step SslBump3
acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
ssl_bump peek bump_step1 all
ssl_bump splice all
ssl_bump peek bump_step2 all
ssl_bump splice bump_step3 all
ssl_bump bump
sslproxy_cert_error deny all
acl ftp proto FTP
http_access allow ftp
acl localnet src 192.168.20.0/24 # Possible internal network (interfaces v4)
acl localnet src 192.168.1.0/24 # Possible internal network (interfaces v4)
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl remoteblacklist_Shallalist.de dstdomain "/usr/local/etc/squid/acl/Shallalist.de"
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icap_enable on
icap_default_options_ttl 60
adaptation_send_client_ip on
adaptation_send_username off
icap_client_username_encode off
icap_client_username_header X-Username
icap_preview_enable on
icap_preview_size 1024
icap_service response_mod respmod_precache icap://[::1]:1344/avscan
icap_service request_mod reqmod_precache icap://[::1]:1344/avscan
include /usr/local/etc/squid/pre-auth/*.conf
adaptation_access response_mod deny remoteblacklist_Shallalist.de
adaptation_access request_mod deny remoteblacklist_Shallalist.de
http_access deny remoteblacklist_Shallalist.de
adaptation_access response_mod deny !Safe_ports
adaptation_access request_mod deny !Safe_ports
http_access deny !Safe_ports
adaptation_access response_mod deny CONNECT !SSL_ports
adaptation_access request_mod deny CONNECT !SSL_ports
http_access deny CONNECT !SSL_ports
adaptation_access response_mod allow localhost manager
adaptation_access request_mod allow localhost manager
adaptation_access response_mod deny manager
adaptation_access request_mod deny manager
http_access allow localhost manager
http_access deny manager
adaptation_access response_mod deny to_localhost
adaptation_access request_mod deny to_localhost
http_access deny to_localhost
include /usr/local/etc/squid/auth/*.conf
adaptation_access response_mod allow localnet
adaptation_access request_mod allow localnet
http_access allow localnet
adaptation_access response_mod allow localhost
adaptation_access request_mod allow localhost
http_access allow localhost
adaptation_access response_mod deny all
adaptation_access request_mod deny all
http_access deny all
include /usr/local/etc/squid/post-auth/*.conf
cache_mem 256 MB
cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache
refresh_pattern pkg\.tar\.xz$   0       20%     4320 refresh-ims
refresh_pattern d?rpm$          0       20%     4320 refresh-ims
refresh_pattern deb$            0       20%     4320 refresh-ims
refresh_pattern udeb$           0       20%     4320 refresh-ims
refresh_pattern Packages\.bz2$  0       20%     4320 refresh-ims
refresh_pattern Sources\.bz2$   0       20%     4320 refresh-ims
refresh_pattern Release\.gpg$   0       20%     4320 refresh-ims
refresh_pattern Release$        0       20%     4320 refresh-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)     4320 80% 129600 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd) 4320 80% 129600 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)       4320 80% 129600 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_v4_first on
access_log stdio:/var/log/squid/access.log squid
cache_store_log stdio:/var/log/squid/store.log
httpd_suppress_version_string on
uri_whitespace strip
forwarded_for on
logfile_rotate 0
cache_mgr root@home.lan
error_directory /usr/local/etc/squid/errors/en-us

Was hier auffällt ist der fehlende SSL 3129 Port an 192.168.1.1 (LAN1 mein aktuelles non-VLAN) und 192.168.20.1 (LAN mit VLAN=20 soll LAN1 später ersetzen). Ich hoffe, ich habe alle relevanten Screenshots gemacht.

Danke für die Erklärung. Ich bin von falschen Annahmen bzw. Erwartungen ausgegangen und dies erklärt alles.

vielen Dank für die ausführliche Antwort. Inzwischen habe ich mit der Blacklist von unbound+ auch so meine Erfahrung gesammelt. Mit der WindowsSpyBlocker List konnte ich mich zB. nicht einmal mehr bei M$ live.com  einloggen bzw. (andere Listen) bei mydealz.de keinen affiliate link zum Objekt der Begierde öffnen (spart Geld ...). Effektiv sind nur die Malware, Ransomware, NoCoin und easyList übrig geblieben, den Rest muss uBlock & Co. machen. Urspünglich war die Idee, den Gästen ein "ursprüngliches", aber komfortables (DNS Cache, ggf. Squid) WLAN zur Verfügung zu stellen und die gleichen Konzepte auch für den IOT Dreck zu verwenden, der auch bei mir so langsam um sich greift ....

PiHole soll bei mir später im Docker laufen (wäre hier in Verbindung mit OPNsense OT), auf dessen Host auch dockerized NextCloud läuft. Hier sind wir bei einem der Dienste, die ich auch für die Familie WAN-wide "anbieten" will. U.U. "muss" ich auch die pubertierenden Freunde von meinen Kids diesen Service anbieten (legale use wäre Group-Homework als CoviD-19 Bespaßung seitens der Schule aus, abuse use anschließend mit "Hack den Alten - der darf mich nicht schlagen").

Sind die 30 Tage (was viele nutzen) nicht nur wenn sich die IP nicht ändert? Ansonsten würde ich wirklich mal drüber nachdenken, mir irgendeine simple kleine Domain zu suchen. Wenns keine abgefahrene Endung sein muss sondern nur billig findet man sicher was mit .de oder bspw. .xyz oder ähnlichem, die wirklich billig sind. Billig im Sinne von 3-8€ im Jahr(!). Und die dann bspw. bei Cloudflare o.ä. als DNS aufzulegen und schwupp die volle API Möglichkeit in der Sense zu haben, das wäre der Spaß schon wert :)

Mit den 30 Tagen kann durchaus sein, ich habe kein Tagebuch geführt, aber ich behaupte meine IP ist länger als die 30 Tage die selbe. Eine eigene Domain wollte ich erst, wenn alles so klappt ich ich es mir für die Familie vorstellt hatte. Ggf. hat man dann einen Eisbecher im Jahr weniger ...

Aber unabhängig davon, wozu die ganzen Login Daten und DDNS Service in OPNsense, wenn es sich nicht automatisch verlängern lässt?

Dyndns ist selbst erklärend, ganz simpel. Da braucht man keine Anleitung für

Ja, ist es. Evtl. ist aber untergegangen, dass ich den Free Mode von No-Ip benutze und so alle ~30 Tage mich da einloggen muss um den Eintrag aufrecht/aktiv zu halten. Ich hatte es so verstanden, dass das OPNsense selber macht - hier mit Hilfe von DNS-o-matic. Hat nicht geklappt, ich bekam gegen Ablauf den Hinweis, dass ich mich mal dort blocken lassen soll und der DNS entry war danach wirklich weg. .... Daher cron ... Ich lese raus, dass das der falsche Weg sein soll, das löst aber nicht mein Problem alle 30 Tage - und ja ich weiß, auch dass ist kein echtes Problem - aber das nervt ...

Und warum nutzt du dann nicht den DynDNS der Sense selbst sondern bastelst irgendwas selbst und machst einen eigenen Cronjob dafür?

Basis war [How to Configure Dynamic DNS in OPNsense](https://homenetworkguy.com/how-to/configure-dynamic-dns-opnsense/). DNS-O-Matic nutze ich noch aus dem pfsense-Setup, das durch OPNsense abgelöst werden soll. https://docs.opnsense.org/manual/dynamic_dns.html ist die nicht sehr detailliert, denn auch No-IP muss ständig 'aktualisiert' werden - daher der service dns-o-matic ...

Anders herum, wie nutze ich konkret den erwähnten "DynDNS der Sense" ?

OK das verstehe ich nun aber nicht. Da kollidieren doch zwei Sachen miteinander. Einerseits willst du das Gäste WLAN disjunkt haben und völlig getrennt vom LAN, auch deinen DNS schützen - ob sinnvoll oder nicht. Andererseits hältst du dich an ein Howto was das genaue Gegenteil macht und fragst dich dann, warum die Regeln dann nicht gebraucht werden oder nicht genutzt werden bzw. nicht funktionieren ;) Widerspricht sich schon, oder?

Irgendwie raff ich es wohl nicht. Im besagten HowTo wird im LAN und Wireless Netzwerk alles auf unbound#53 gezwungen, dass bei mir auch so funktioniert, wie ich bisher in den logs so gesehen habe. Nun soll aber das Gäste-WLAN einen eigenen DNS bekommen; unfiltered, ohne die Blacklist aus dem LAN und ohne Namensauflösung des internen Netzwerkes. Letzteres mag evtl. sinnfrei sein, da die FW Regeln den Zugang eh unterdrücken würden (was Du wohl mit sinnvoll oder auch nicht umschrieben hast). Aber in einigen Web quellen wird (ohne zu begründen) darauf verwiesen, das interne LAN nicht unfreiwillig über den DNS offen zu legen, was IMO zB. auf das DMZ zielt. Ich bin da zu wenig Hacker ....

ich beziehe mich auf [HOWTO - Redirect all DNS Requests to Opnsense](https://forum.opnsense.org/index.php?topic=9245.0). Meine Idee ist, dnsmasq als DNS cache (1ms vs. ~20ms) einzusetzen und entsprechend alle DNS Abfragen auf diesem umzuleiten.

Evtl. werde ich zB. im LAN für mich neben unbound+#53  auch dnsmasq#5335 nehmen, da manche Webseiten einfach diesen blöden Werbekram benötigen (zB. https://mydealz.de)

Ich verstehe nicht genau warum du es so kompliziert machst. Ich nutze meine eigene Domain bei Cloudflare als meinen dyndns. Diesen habe ich ganz einfach in dem dyndns Plugin konfiguriert. Seit dem läuft der einfach top, nie Probleme

Nun, ich habe (derzeit) keine eigene Domain und möchte erst'mal so starten und mit ACME weiter machen um zu sehen, wie meine weiteren Schritte sein werden.

Custom cronjobs liegen unter /usr/local/opnsense/service/conf/actions.d

Wie das ganze funktioniert, ist hier beschrieben:

http://kb.unixservertech.com/other/networking/opnsense/cron-jobs

Ich hoffe, es hilft weiter.

vielen Dank, es hat wirklich weiter geholfen.

Ich habe die Zeiten im GUI geändert, daher steht nun etwas andere Zeiten:

Code Select Expand


% sudo cat /var/cron/tabs/nobody|egrep -v '^#'
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
0 06 1,14 * * /usr/local/sbin/configctl dyndns reload


mit den Infos von Dir konnte ich mir zusammen reimen, was da passiert (via php). Da das DDNS Update geloggt wird, habe ich mir diese mal angesehen:

Code Select Expand


% sudo cat /var/log/configd.log | grep dns
Jul  6 20:30:15 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:32:33 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:33:15 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:35:13 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:35:48 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:37:09 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc


und dann per Hand aufgerrufen und nochmals im log nachgesehen:

Code Select Expand


% /usr/local/sbin/configctl dyndns reload
OK
admin@OPNsense:~ % sudo cat /var/log/configd.log | grep dns
Jul  6 20:30:15 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:32:33 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:33:15 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:35:13 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:35:48 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  6 20:37:09 OPNsense configd.py:  OPNsense/Unboundplus generated //var/unbound/etc/dnsbl.inc
Jul  7 17:42:08 OPNsense configd.py: [73574458-63db-48ca-8a17-83eaa0b1a03b] updating dyndns 


Es sieht so aus, als ob der Job nie ausgeführt wurde. Jetzt hatte ich dummerweise in guter Try&Error Manier die Kiste neu gebootet. So muss ich mal ein paar Tage warten (oder auf tgl. umstellen) ... Ich denke mal, bei anderen klappt das DDNS Update natürlich, oder?

So, ich habs:

Destination / Invert: *NOT* Checked

so recht verstehe ich es nicht. Im original HauZu wurde ja so verhindert, das localhost rekursiv auf #53 weiter ge-NAT wird (so habe ich es zumindest verstanden), aber hier gilt plötzlich ein anderen Konzept?

Hallo,

wo werden eigentlich die CRON jobs bei opnsense angelegt? Ich habe einen angelegt für Open-/DynDNS, der ist aber nicht in '/etc/crontab' zu finden, obwohl angelegt (und apply gedrückt). Gewollt ist das Update an jedem ersten des Monats um 6:00 Uhr. Der Termin ist vorbei und ich bekomme eine Meldung von NoIP über den Auslauf des Eintrages, wobei ich den DynDNS OpenDNS service verwende.

Code Select Expand


$ cat /etc/crontab | egrep -v '^#'
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
*/5 * * * * root /usr/libexec/atrun
*/11 * * * * operator /usr/libexec/save-entropy
0 * * * * root newsyslog
1 3 * * * root periodic daily
15 4 * * 6 root periodic weekly
30 5 1 * * root periodic monthly
1,31 0-5 * * * root adjkerntz -a

$ ll /etc/cron.d/
total 0


Das glaube ich euch! Und was ist mit einfach veröffentlichen und jeder kann sich was eigenes daraus Basteln? Ohne Support und Co?

Da machst du schon das nächste Fass auf. Wo veröffentlichen? Wer macht das? Auf Github? Fein, da läuft auch gleich ein Issue Tracker und wie es ja @mimugmail schon geschrieben hat: Veröffentliche das und du hast eine Stunde später den ersten Bug/Feature request. Oder es forkt jemand und kommt nicht damit klar, dann bist du natürlich auch schuld. Oder du schaltest irgendwie alles aus und postest nur den Code, dann ist garantiert auch wieder jemand wegen irgendwas beleidigt. Bei der SocialMedia Kultur bzw. Verhalten wäre ich heute auch extrem vorsichtig, was ich posten oder freigeben würde. Oder der ganz tolle Knaller, du willst es dann für Kunden einrichten und bekommst bei der Abrechnung hochgezogene Augenbrauen, weil das doch irgendjemand einfach ins Internet gestellt hat, das war doch dann keine Leistung, ist ja nur abgetippt/kopiert, warum soll ich das zahlen :D

Es ist echt manchmal nicht leicht/einfach/schön, da freundlich und positiv zu bleiben.

also ich habe auch Projekte gesehen ohne Issue Tracker, da diese auf der eigentlichen Homepage gehostet sind - es muss also gehen.

Viele wollen aber auch (evtl. im Glauben zu helfen) für eine Bug-freie Software ihre Zeit zum Dokumentieren und ggf. gleich Fixes von Bugs einsetzen. Ausnahmen bestätigen die Regel ... Ich würde das nicht so negativ sehen wollen, einige wenige Trolle sind da kein Maßstab.

nachdem ich mich ja recht dämlich angestellt und nun auch einen Session Popup hinbekommen habe noch eine Frage: Beim Logout läuft die Zeit weiter - richtig? Kann man das auch einfach pausieren, als Tageskontingent sozusagen für die Kiddies zB?

moin, warum sollen deine gäste nicht auch den unbound dns nutzen, was ist genau dein ziel und welche doku beschreibt das du es so machen sollst (bitte mal einen link).

ich habe auch ein gäste lan/wlan und alle nutzen den unbound dns.

Quelle: https://forum.opnsense.org/index.php?topic=9245.0
und teilweise: https://nguvu.org/pfsense/pfsense-baseline-setup/

Der Sinn ist, dass keiner die interne Namensauflösung verwenden kann. Das gleiche Konzept möchte ich auch für das DMZ verwenden. Das WLAN für vertrauenswürdige Gäste bekommen natürlich unbound Port 53 verpasst :) Weiterhin habe ich am Unbound eine BlackList (unbound+)