Messages

31

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 24, 2023, 10:08:07 pm »

Hallo

Ich habe jetzt mal intensiv nach Literatur gesucht, grundsätzlich lese ich sehr gerne jedemenge Fachbücher aller Art.
Zu Netzwerktechnik finde ich entwender Grundlagenbücher, da kenne ich gefühlt den Großteil. Für die Tiefe wirds dann aber sehr trocken, teuer und meißt >10 Jahre alt oder mies bewertet. Das englische OPNsense Beginner to Professional klingt gut, aber denke soweit bin ich noch nicht.

sehr schwierig, weiß nicht recht wo ich anfangen soll.

Wohne in einer Mietwohnung, die Anzahl an möglichen Kabel ist durch meine Frau und meiner gewünschten Bequemlichkeit begrenzt.
Daher viel WLAN.
Elektronikprojekte laufen auch einfacher über WLAN, ein ESP32 oder USB-Wifi Dongle und ich bin super flexibel in der Entwicklung, wo und wie ich will. Unterwegs Handy Hotspot und das Ding läuft sofort wie zuhause.

Ein P-Hole hatte ich schon, war aber in Kombination mit vermutlich meinen Router-Konfigurations-Fähigkeiten nur Teilweise brauchbar, hab dann ziemlich bald den Pi für anderes genutzt. Aber Ja das wäre auch eine Option.

VLAN Unterteilung wäre schon mal etwas, aber in Kombination mit meinen WLANs überschreitet das mein Umsetzungsverständniss.

Durch die fixe IP und schnellen Zugang wäre meine erste Priorität etwas sicheres als den Asus Router zu installieren, oft übersehen ich, dass es Updates gibt und VPN läuft auch nicht zuverlässig. Als zweite Priorität wäre das Filtern von Tracking, Werbung usw.  weil zum Beispiel IP TV Android Boxen schwer kompatibel zu rooten sind. Da bräuchte ich außerhalb brauchbare Filter. Beim Traffic eines Fire Tv Sticks wird mir schlecht. Der neue Internet Anschluss hat kein Kabel TV mehr, daher muss irgend ein IP TV her.

Schau dir auch mal Proxmox an, kann man auch auf kleinerer stromsparender Hardware wie Intel Nuc oder so ähnlich betreiben, damit kannst du dann ebenfalls dein Pi-Hole virtualisieren. Es kommt bei Pi-Hole auch auf deine Roter/FW konfiguration an, DNS kann man mit der FW (bei Bedarf) umleiten und so nur das Pi-Hole arbeiten lassen.

-> https://forum.opnsense.org/index.php?topic=9245.0

Ansonsten Literatur, welche Bücher hast du denn zur Netzwerktechnik schon gelesen? Mit den Grundlagen sollte doch schon einiges abgedeckt sein, Routing, NAT, DNS IPv4&IPv6 usw... Cisco CNNA würde mir da noch einfallen.

Ansonsten gibt es doch schon Anleitungen im Netz, wie du bereits gesagt hattest, dass du schon viel gelesen hast.

Es gibt noch Anwendungen wie IDS/IPS oder Suricata zum Beispiel, Next Generation Firewall Aplications. Letzten Endes ist Sicherheit und Datenschutz in der Informatik auch stark mit dem eigenen Verhalten gekoppelt, wie man zum Beispiel Surft und welche Links manbei Emails anklickt, keine der besten Firewalls auf der Welt nützen etwas, wenn du einen Trojaner herunter lädst und auf deinem Rechner installierst.

Siehe auch: https://privacy-handbuch.de/

32

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 24, 2023, 08:41:35 pm »

Vielen Dank für Eure alle Tipps und Ratschläge!

Lukas

Du könntest noch über Pi-Hole oder Adguard-Home nachdenken, beides DNS Filter um zB. Werbung zu blockieren. Und ich würde das Netzwerk, wie schon angesprochen, ordentlicher aufteilen, VLAN/Subnetze.

Ich habe einen Zyxel AP, früher Unifi, sind beides Geräte die ich empfehlen kann. Wlan könnte man noch weiter absichern, zB. über Captive portal & GuestNET. https://docs.opnsense.org/manual/captiveportal.html

Die Opnsense Dokumentation, siehe Link, ist wie ich finde, ebenfalls ein guter Einstieg, einfach mal schritt für schritt durchlesen, nachdenken und für sich selbst entscheiden, was man braucht oder eben nicht.

Ansonsten schau mal bei Amazon nach Literatur zu Firewalls, es gibt auch im Netz teilweise gute Skripte von Unis oder PDF Files, welche zur IT-Security und Datensicherheit thematisch gute Informationen liefern.

Und wenn möglich, verleg Kabel im Haus, ist ja furchtbar wenn das alles übers Wlan läuft Just my 2 Cents

33

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 24, 2023, 08:34:52 pm »

Wie kannst du dich vorbereiten:
- du meinstest das du in netzwerk nicht so fit bist, also am besten die grundlagen und erweiterte netzwerkgrundlagen aneigenen
- deine unmanageswitche gegen managedswitche austauschen.
- die einzelnen netze (gäste lan als eigenes VLAN)
- KEIN WLAN DIREKT AUF DER SENSE, nimm ordentliche APs (ich setze UBNT ein)
- zu der hardware, nimm auf alle fälle eine mit mindesten 2 oder mehr ethernet schnittstellen (kein USB oder son kram)
- nutze die die dokumentation der sense und die forum suche, viele themen die du ansprichst wurden hier schon mehrfach behandelt (und warscheinlich auch gelöst)
ich hänge mal meinen netzwerkplan mit an, ist nicht das nonplus ultra nur ich will mich zuhause nicht tot administrieren

Code: [Select]

                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoe)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
                                                          │
 ┌────────────────┐   ┌────────────────┐       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
 │                │   │     Switch     ├───────╣                                         ║  │
 │    TrueNAS     ├───┤  USW-Flex-XG   │       ║                Intel NUC BNUC11TNHV50L00║    23.09.2022 │
 │                │   │                ├────┐  ║                      LAN: 192.168.3.0/24║  │
 └────────────────┘   └────────┬───────┘    │  ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
                               │            │  ║       IoT WLAN (VLAN34): 192.168.34.0/24║
                      ┌────────┴───────┐    │  ║     DynDNS über deSEC mit eigener Domain║
                      │      UBNT      │    │  ║                                   VPN's:║
                      │EdgeSwitch 8 XP │    │  ║         2 x Fritzbox (7490 & 6591) IPSec║
                      │                │    │  ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                      └───┬────────────┘    │  ║               1 x WireGuard Road Warrior║
 ┌────────────────┐       │                 │  ║                         (172.16.33.0/24)║
 │ Fritzbox 7490  │       │                 │  ╚═════════════════════════════════════════╝
 │   (Nur VoIP)   ├───────┤                 │
 │                │       │               ┌─┴──────────────┐     ┌────────────────┐   ┌────────────────┐
 └────────────────┘       │               │     Switch     │     │     Switch     │   │    1 x UBNT    │
 ┌────────────────┐       │               │  USW-Flex-XG   ├─────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│
 │      UBNT      │       │               │                │     │                │   │                │
 │UniFi Cloud Key ├───────┤               └───────┬────────┘     └─────────┬──────┘   └────────────────┘
 │                │       │                       │  ┌────────────────┐    │          ┌────────────────┐
 └────────────────┘       │                       │  │                │    │          │                │
 ┌────────────────┐       │                       └──┤    Clients     │    └──────────┤    Clients     │
 │    2 x UBNT    │       │                          │                │               │                │
 │UniFI AP AC Pro ├───────┘                          └────────────────┘               └────────────────┘
 │                │
 └────────────────┘


Verwendest du PFsense? Ist zwar sehr ähnlich u Opnsense, aber was waren deine Kriterien für PFsense? Frag nur aus Neugierde.

34

German - Deutsch / Re: Nach Update 23.1.1 Fehler netmap mit Suricata

« on: February 18, 2023, 10:43:52 am »

Vielen Dank für die Antwort.
Ich hatte mein Problem auch im englischen Forum geschildert. Leider haben wir auch dort noch keine Lösung finden können.

Was passiert, wenn du Suricata auf WAN lauschen lässt? Ich ging immer davon aus, dass dies auch mit VLAN's funktionieren sollte.

Hast du den Promiscuos Modus aktiviert? Mir fällt nichts Schlaues dazu ein, aktiviere mal die HW Offloads wieder, vorerst und schaue was passiert.

https://forum.opnsense.org/index.php?topic=13933.0

35

German - Deutsch / Re: Nach Update 23.1.1 Fehler netmap mit Suricata

« on: February 17, 2023, 10:28:08 pm »

Das einzige, was mir spontan einfällt, ist, dass du suricata noch mal Neuinstallieren könntest. Ansonsten sichere die Konfiguration und ziehe eine Neuinstallation in Erwägung, falls sich das Problem nicht lösen lässt. Frag auch mal im englischen Forum nach, evtl. ergibt sich dort eine Lösung...

36

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 17, 2023, 02:20:26 pm »

Kurzer Nachtrag von meiner Seite:

Ich habe jetzt WAN auf eine andere Schnittstelle zugewiesen und es scheint jetzt ohne Probleme zu laufen, keine Ahnung, evtl. ist da etwas mit der Hardware nicht in Ordnung.

Eine Frage noch, wo finde ich noch gleich erweiterte Hardware Einstellungen zu den Interfaces? Ich erinnere mich, dass es da noch eine erweiterte Einstellungsmöglichkeit gegeben hat!?

37

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 10:17:59 pm »

So, bin doch noch da. Wenn du mit abgeschalteter Firewall den Default-GW nicht anpingen kannst, ist an der Stelle was kaputt. Das musst du rausfinden.

Kabel, Switch, VLAN (wenn vorhanden), Netzmaske (!) ... zur Not eben tcpdump.

Befor du den Default-GW pingen kannst, brauchst du dich um nichts anderes zu kümmern.

Direkt nach einem Neustart war es möglich, dann bin ich auf Update gegangen und es ging wieder nichts... Da muss irgend etwas blockieren sobald man das update anstößt?

38

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 10:15:37 pm »

Ich habe jetzt einen Neustart gemacht, erst scheint alles zu funktionieren, ping auf 1.1.1.1 klappt. Dann auf Update gegangen und die Sense hat wieder Probleme, kein Ping WAN seitig möglich. Was könnte das sein?

39

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 09:50:17 pm »

Jetzt wirds übers Forum etwas schwierig.

Hast du eine IP-Adresse auf WAN? (ifconfig)

Ja, ist aktuell noch! Doppel NAT ... Wird aber auf PPPoE umgestellt.

WAN 192.168.1.1
LAN 192.168.0.12


Hast du einen Default-Gateway? (netstat -rn)

Ja: 192.168.1.14

Kannst du den Gateway anpingen?

Von der Sense nicht aber von meinem Client aus LAN ja.


Kannst du ihn anpingen, wenn du die Firewall abschaltest? (pfctl -d)

Ohne FW nein, geht auch nicht.

Bin für heute raus, sorry. Jammern und Wehklagen wird nicht helfen - von unten nach oben im Protokollstack die Dinge abklappern.

Ja ich weiß, danke vielmals fürs erste... Falls Dir noch eine Idee kommt, würde ich mich freuen!

40

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 09:00:29 pm »

Das ist kein ping in dem Log, das ist ein DNS-Request. Die Absender-Adresse ist aber vergurkt.

Benutzt du den normalen Unbound? Hast du an der "Interfaces" Einstellung rumgespielt?

Stimmt! Aber Ping geht auch ned^^

Eam, könnte evtl. sein das ich da mal was gemacht habe. Ich schau mal nach evtl. sehe ich was :-/

Ja Unbound. Und die Sense kann sich nichtmal selber Wan seitig anpingen, icmp ist auf WAN erlaubt per Regel. Ich checks nicht

41

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 08:45:28 pm »

 Wenn ich die 1.1.1.1 an pinge, dann steht in meiner FW Live-Log

Code: [Select]


wan 2023-02-16T20:45:47 0.0.0.0:23310 1.1.1.1:53 udp let out anything from firewall host itself


42

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 08:34:28 pm »

Die OPNsense kann selbst keine Domainnamen auflösen. Trag unter System > Settings > General mal einen öffentlichen Resolver ein, z.B. 1.1.1.1, zieh die Updates durch, dann such den Fehler in deiner Konfiguration.

Ok, also ich kann 1.1.1.1 von der sense nicht mal pingen, die sense scheint offline zu sein, vom internen Netzwerk aus, kein Problem. Ich kapiere das gerade nicht!?

43

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 08:01:42 pm »

Außerdem, scheint es so als wäre hier irgendwo ein Konflikt mit den Plugins? Sehe das zum ersten mal...?

44

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 07:58:55 pm »

Keine Ahnung. Mit tcpdump gucken, was da schief läuft ...

Was sagt denn System > Firmware > Status > Run an audit > Connectivity?

Ok, hab den "Run an audit > Connectivity" Test gemacht, weiß nicht weiter^^

45

German - Deutsch / Re: Update auf 23 funktioniert nicht richtig

« on: February 16, 2023, 07:54:06 pm »

Keine Ahnung. Mit tcpdump gucken, was da schief läuft ...

Was sagt denn System > Firmware > Status > Run an audit > Connectivity?

mom, ich mach nen Neustart da der Button nicht reagiert, beim TCPdump hab ich nichts auswerten können...