Messages

Hallo. Wie ich auch gestern erst erfahren habe filtert die Firewall nur eingehende Pakete. Das bedeutet allgemein gesprochen: Pakete die aus Richtung der Firewall nach außen  gehen (außen ist in dem Fall aus der Firewall heraus. Egal ob es ins LAN Netzwerk, WAN Netzwerk oder sonstwo hin geht) werden nicht behandelt.

1.
In deinem Beispiel könntest du an LAN1 keine Antworten des Webservers an den Client behandeln, da aus LAN1-Sicht diese Antwort AUSGEHEND (nach LAN1) ist.

Und daher ist es auch richtig, dass du die Erlaubnis für PC1 auf PC2 zuzugreifen auf LAN1 gibst, denn auf LAN2 wäre das ja wieder ausgehend (raus aus der Firewall zum Server-PC).

Unsicher bin ich mir jetzt, ob du eine LAN2 Regel brauchst, die Traffic vom Server ins LAN1 oder an PC1 erlaubt. Denn stateful firewall bedeutet, dass sobald eine Verbindung steht, auch die Antwort durchgelassen wird.

In dem Fall musst du überlegen: Soll der Server-PC von sich aus auch ins LAN1 dürfen, oder nur, wenn von von LAN1 Seite aus eine Verbindung angefordert wird.

2.
Diese Regel hätte in der Tat keinen Sinn, da sie niemals getriggert werden kann. Denn ein Paket das an LAN2 in die Firewall reinkommt und an WAN aus der Firewall raus geht wird nicht die LAN1 Schnittstelle durchlaufen.
Dennoch ist es konfigurierbar, das stimmt.

I think once FreeBSD is capable of 802.11ac it's not much harder than adding it as an option to the GUI.
And if it is more effort, I think they will still implement it. You can always make feature requests here or via Github. The devs are quite active and open minded for proposals.

Gut zu wissen. Ich dachte bisher, ich kann je nachdem wie ich Source und Dest wähle entscheiden, ob es eine in oder out Regel ist. Und dass Pakete beim Eingehen und beim Ausgehen vom Interface behandelt werden.

Daher macht ja dann eine Regel wie die "Default allow LAN to any rule" (das ist die erste Regel aus meinem Vorpost) gar keinen Sinn ?!?

Edit: Einen Moment nachdenken ... denk ...denk ... denk ...

Für die FW ist ja meine ausgehende Clientverbindung eine auf LAN eingehende. Also macht sie schon Sinn.

Hallo, ich habe folgende Regeln:

LAN: IPv4+6 | Quelle:LAN-Netzwerk | Ziel: * | erlauben
WAN: IPv4+6 | Quelle:* | Ziel: * | blockieren

Von der Reihenfolge liegen beide Regeln ganz oben in ihrem jeweiligen Tab.

Meine Frage: Warum greift die Block-Regel in WAN nicht? Ich kann von allen Clients aus ins Internet.
Normalerweise kommt ein Paket von meinem Client ja über LAN rein. LAN sagt ich darf überall hin und lässt das Paket durch. Jetzt muss das Paket ja über die WAN Schnittstelle, weil es ins Internet will. WAN müsste jetzt eigentlich sagen: Mir alles egal, hier kommt nix durch! Tut es aber nicht.

Darum die Frage: Sorgt der Positivtreffer auf LAN automatisch auch für ein Durchlassen auf WAN ???

Hallo!

Ich habe folgendes Problem: Egal ob ich lokal oder via Remote Blacklist versuche facebook, instagram und youtube zu blocken - es geht nicht. Er lässt mich trotzdem auf die Seiten.
Bei anderen Domains geht es komischerweise. Selbst google kann ich blocken. Aber die 3 oberen sind komischerweise IMMER erreichbar obwohl geblockt.

Ich habe eine interessante Entdeckung gemacht. Ich bin noch mal alle Filterlisten durchgegangen und habe gemerkt, dass ich einen Filter auf Bankingseiten hatte. Nachdem ich jetzt alle Kategorien entfernt habe die zu viel waren funktioniert es wie es soll.

Scheinbar macht es Probleme, Seiten, die per Blacklist geblockt sind in die SSL-Ausnahmenliste zu schreiben.
Dieser Fehler sollte allerdings bei ordentlicher Konfiguration nicht auftreten. Daher mMn alles ok.

Hallo!

Ich habe nach der Anleitung im Wiki einen Web-Proxy konfiguriert und ihn transparent gemacht.
Das Ganze für HTTP und HTTPS.

Siehe:
https://wiki.opnsense.org/manual/how-tos/proxywebfilter.html
https://wiki.opnsense.org/manual/how-tos/proxytransparent.html

Ich habe zusätzlich im Feld "Nicht abzufangende SSL-Seiten" folgendes eingetragen:
.paypal.com usw.

Wenn ich jetzt aber auf paypal.com gehe erhalte ich Fehlermeldungen im Browser, dass das Zertifikat nicht stimmt.
Wie kann das sein, wenn für diese Webseiten das SSL eigentlich unangetastet bleiben soll?

Zusatzinfo: Alle Seiten, die NICHT in den Ausnahmen gelistet sind funktionieren und haben logischerweise mein opnsense zertifikat

0 funktioniert auch. setze auch den minutenwert auf 0. Beim Rest einen Stern

ich habe:

Minuten
0

Stunden
4

Tag des Monats
*

Monate
*

Tage der Woche
*

Also täglich 4 Uhr.

System->Einstellungen->Cron

Befehl: Periodic interface reset
Parameter: wan

What, if you would save the list of installed plugins in the configuration? Then you would know which plugins where installed previously.

For core functions which are moved to plugins you could add a query dialog into the firmware upgrade function.
You click upgrade, then you get the release notes and afterwards you tell the user which core functions will be inside plugins on the new release. The user now checks the box which plugin he wants to get installed automatically.

Yes, 17.7 upgrade was mostly flawless and runs stable.

The only thing that nagged me today was that dyndns is now a plugin.

Maybe, if you plan to move out some more features the upgrade routine should check, if the feature is being used currently and install the plugin during upgrade.

Okay, habe es sogar relativ schnell selbst hinbekommen.
Ich musste noch eine ausgehende NAT Regel hinzufügen:

Schnittstelle: WAN
Quelle: OpenVPN Netz
Ziel: Jeglich
Übersetzung: Schnittstellenadresse
Statischer Port: An

Da ich noch eine weitere Nat-Regel für OpenVPN hatte, die eher greifen muss, habe ich die neue Regel unter dieser platziert. (Ich Natte an LAN alles vom OpenVPN Netz ins LAN mit der LAN Schnittstellenadresse, sodass ich für Clients im LAN kein "Fremder" bin)

Hallo,

ich würde gern, wenn ich mich mit meiner opnSense verbinde, dass sämtlicher Traffic über den VPN Tunnel geht.
Dafür habe ich die Option "Weiterleitungs-Gateway" in den VPN Settings eingestellt.

Nach dem Connect hat der Remote Client allerdings kein Internet. In der Theorie sagt mir das, dass die Umleitung sämtlichen Traffics funktioniert, aber das Routing ins Internet nicht.

Gibt es noch etwas besonderes, das ich beachten oder einstellen muss? Routen, Firewall-Regeln?

Ich habe den Patch gerade eingespielt und es funktioniert. Klasse, dass mal eben ein - wenn auch wenig aufwendiges Feature implementiert und als Patch zur Verfügung gestellt wird.

Danke!

So... https://github.com/opnsense/core/commit/20ec899

# opnsense-patch 20ec899


Grüsse
Franco

Sehr schön! Wie kann ich das testen (also den Patch anwenden)? Ist dieser Commit auf eine bestimmte Version beschränkt? Und da es MVC-Layer code ist - funktioniert das nur in der Webgui oder auch zB. bei VPN?