Messages

Hallo alle zusammen.
Ich habe heute das Upgrade durchgeführt und musste feststellen, dass mein DNS nicht mehr ging. Ich lasse das bei mir über Adguard laufen und von dort aus weiter zu unbound. Ich habe den 53er Port wieder in unbound gesetzt damit mein DNS wieder funzt.
Leider lässt sich der Dienst nicht starten. Ich finde auch kein Log oder eine Fehlermeldung. Ich habe versucht den Dienst händisch zu starten und alles was ich sehe ist das:

Code Select Expand

root@heimdall:/usr/local/AdGuardHome # ./AdGuardHome
2023/08/06 21:03:48.561480 [info] AdGuard Home, version v0.107.35
2023/08/06 21:03:48.563997 [info] tls: using default ciphers
2023/08/06 21:03:48.567284 [info] safesearch default: reset 253 rules
2023/08/06 21:03:48.569331 [info] Initializing auth module: /usr/local/AdGuardHome/data/sessions.db
2023/08/06 21:03:48.569420 [info] auth: initialized.  users:1  sessions:1
2023/08/06 21:03:48.569438 [info] web: initializing
2023/08/06 21:03:48.569538 [fatal] filtering: filtering: unknown blocked-service "claro"

Ne Ahnung was es mit claro auf sich hat?

Hi all,

I am trying to figure how to whitelist uploading files to nextcloud. I found a tool that reads out logs and outputs whitelisting rules for NAXSI. I tried to translate these into opnsense, but they are not working.
These are the suggested rules that I have to whitelist:

Code Select Expand

########### Optimized Rules Suggestion ##################
# total_count:1206 (99.1%), peer_count:1 (100.0%) | ?
BasicRule wl:2 "mz:BODY";
# total_count:11 (0.9%), peer_count:1 (100.0%) | ?
#exemple (from exlog) : '/'
BasicRule wl:1206 "mz:$URL:/ocs/v2.php/apps/files_sharing/api/v1/shares|$ARGS_VAR:path";

You can find my config on the attached screenshots.

Hi,
also leider bin ich dort nicht fündig geworden. Verwenden auch alle andere setup's und eher ne basic proxy config. Was mit WAF finde ich leider nicht.

Edit:
Also wie es scheint muss ich wohl den Learning mode einschalten und alle rules selbst erstellen. Siehe:
https://forum.opnsense.org/index.php?topic=19288.0

Moin @ll,

ich verwende Nextcloud um meine Bilder automatisch in die Cloud zu laden. Allerdings hängt sich der Upload immer nach 4-6 Bildern auf. Erst wenn ich meine App auf dem Handy komplett beende und neu öffne startet der Upload von vorne aber auch wieder nur für wenige Bilder...
Es wird leider rein gar nichts in den Logs als "error" angezeigt.

Wenn ich alle standard rules aus Custom-Security-Policy entferne funktioniert es, aber dann habe ich eben keine Sicherheitsregeln mehr. Gibt es irgendwo eine Beispiel NGINX config für die Sicherheitsregeln? Ich hatte schon einige rules whitelisted, aber damals wurde wenigstens was geloggt... Jetzt zeigt mir NGINX nichts an mit dem ich arbeiten kann.

Hi @ll,
ich sehe schon seit einer Weile diese  Meldung für alle locations in meinen logs:

Code Select Expand


2023/06/14 11:25:25 [warn] 97566#102677: no resolver defined to resolve r3.o.lencr.org while requesting certificate status, responder: r3.o.lencr.org, certificate: "/usr/local/etc/nginx/key/host.example.pem"

Sollte NGINX nicht eigentlich das lokal konfigurierte DNS (in meinem Fall unbound) als resolver verwenden?

Moin,
ich habe mir vor wenigen Monaten so ein Ding geholt.
https://www.aliexpress.com/item/1005004822003996.html?algo_pvid=7626c306-a60a-4ca5-a05b-bbfee08bc2ec&algo_exp_id=7626c306-a60a-4ca5-a05b-bbfee08bc2ec-0&pdp_npi=3%40dis%21EUR%21317.38%21212.64%21%21%21%21%21%402145280e16813655515888989d06eb%2112000030616885291%21sea%21DE%210&curPageLogUid=Rm9YKmzdQENU

Ich wollte das meiste für's kleinste Geld raus holen. Auch wenn ich eigentlich gegen China Hardware bin, muss ich doch sagen, dass ich damit recht zufrieden bin.
Ich habe 260€ insgesamt ausgeben.
Dafür bekomme ich optimale Leistung und einen geringeren Verbrauch als auf meiner alten umgebauten HP Workstation.
Ich habe alle möglichen Dienste am laufen und habe trotzdem noch einen sehr guten durchsatz.
Also ich persönlich empfehle, wenn du aufs Geld gucken musst, dir sowas zu bestellen.
Ansonsten bleib bei den von den anderen Kollegen vorgeschlagenen non-china-stuff :D

Hast du mal in die NGINX HTTP Fehler Logs geguckt?
Hast du security policy filter bei dir eingerichtet? Eventuell sind die Filter dafür verantwortlich.
Ich kenne ioBroker nicht, aber ich hatte das phänomen auch vor kurzem bei nextcloud. Da musste ich meine Filter nochmal anpassen um mich anmelden zu können.

HA! Tatsächlich. Es waren die von dir erwähnten Blocklisten!
An die hatte ich gar nicht mehr gedacht.
Danke und problem solved. :)

Hast dir nen like verdient

Hi, nein IPv6 habe ich schon vor langer zeit deaktiviert und bin ausschließlich bei ipv4.
Ich vermute auch, der Rechner müsste die schnellste Route finden, wenn eine IPv4 Verbindung besteht.
In den Windows Ereignis logs sehe ich leider auch nur, dass keine Windows Update Dienste erreicht werden können. Warum allerdings ist nicht nachzuvollziehen ohne die richtigen Windows insider kenntnisse..

So.. ich musste ein bisschen Zeit finden und habe leider immer noch keine Lösung.
Es ist wirklich sehr merkwürdig.
Ich kann es einfach nicht nachvollziehen wo es hängt, außer an der Firewall selbst.

Ich habe mal nach meinem letzten Post den cache proxy samt WPAD eingerichtet. Leider brachte das auch rein gar nichts.

Heute habe ich nochmal meinen letzten Test gemacht und ich finde nach wie vor keinen einzigen Hinweis, warum ausgerechnet die Windows Updates nicht funzen...

Heute habe ich folgendes deaktiviert:

- Suricata
- Zenarmor
- Adguard Schutzmaßnahmen
- Crowdsec
- FireHOL Fließende regeln

Es hat wirklich rein gar nichts gebracht. Ich sehe weder in den Firewall logs etwas mit Bezug zu Microsoft, noch in Suricata oder anderen Diensten irgendein Indiz.
Ich meine Polen war wirklich offen. Alles stand auf allow und es hat rein gar nichts geklappt.
Getestet habe ich meinen Rechner im LAN + ein Notebook in einem seperaten WLAN Netz. Beide haben das gleiche Phänomen.
Wie kann das sein, dass wirklich rein gar nichts diesbezüglich geloggt wird?
Also in Adguard zumindest sehe ich alle möglichen Microsoft Bing + Telemetrie gedöns, aber der Schutz war ja komplett deaktiviert. Da darf dann IMO nichts geblockt werden. Sobald ich das OPNsense Netz verlasse geht es ja...

Aus Wireshark traces alleine werde ich leider nicht schlau, da ich TLS/SSL verschlüsselte kommunikation nicht entschlüsseln kann ohne zert und ich bin da ehrlich gesagt auch nicht so fit drin.
Hat sonst jemand eine idee?
Die allerletzte Option, wo ich aber nicht weiß ob das wirklich was bringen würde, wäre die Firewall komplett platt machen und mit einer standard installation neu aufsetzen ohne die config wiederherzustellen. Aber den Schritt möchte ich ehrlich gesagt vermeiden, weil ich echt schon ne ganze menge eingestellt habe und ich finde die Wiederherstellung von config Dateien schon sehr mühselig. Beim restore geht entweder alles, oder einzeln jeder einzelne Bereich...

"http://xyz.abc.com" ist kein DNS Name.

https://www.microsoft.com/en-us/download/details.aspx?id=53602

Hast du Recht, aber ich bin davon ausgegangen, dass das auch möglich war. Bei gewissen Aliassen geht's ja auch, aber da tut er nur IP Listen fetchen..

Aus Datenschutzgründen macht es für mich keinen Sinn alle Microsoft IP Netze zu whitelisten. Updates könnten dann vielleicht gehen, aber gleichzeitig gestatte ich somit alles weitere an Telemetrie und sonstiges...

Ich hatte gehofft, dass jemand hier ähnliche Probleme hatte.
Ich bin zufällig über squid gestolpert und gucke ob ich einfach das ganze mit dem proxy abfrühstücke. Dann muss ich wenigstens nicht mehr mit Firewallregeln arbeiten und kann mit WPAD die proxy settings an die clients verteilen. Könnte also damit gehen.

Alles sehr unschön

Scheinbar wurde mein 2. Anhang nicht hochgeladen.. hier mein ALIAS:

Hallo alle zusammen,

ich habe schon seit bestimmt einem Jahr das Problem, dass meine Windows Maschinen kein Update mehr innerhalb des LAN's bekommen. (LAN) Darf bei mir überall hin.
Ich nutze Suricata, Zenarmor und Adguard gebündelt auf der Firewall.
Zur Fehleranalyse habe ich jeden Dienst händisch gestoppt und auf meiner Maschine nach Updates gesucht. Leider kein Erfolg, egal welchen Dienst ich abschalte.
Im Firewall Live-Log habe ich keine blocks erkennen können. In Surricata selber werden nur ICMP echo's gemeldet. Zenarmor hat lediglich www.bing.com geblockt. Adguard wiederum hat recht viel geblockt, was aber letzten endes nur telemetrie und ad-server von Microsoft sind.. however.. ich habe mal alle Filter zum Testen entsperrt, aber da scheint nix zu passieren. Selbst wenn ich adguard deaktiviere bringt das keine Änderung.
Wenn ich über die Firewall das LAN interface sniffe und den Moment aufzeichne, wo ich in Windows nach Updates suche, wird leider keine Anfrage verschickt.

Sobald ich meinen Windows Rechner an meine Fritzbox ohne Firewall hänge, geht alles ohne probleme... Es liegt nur an der Firewall und ich bin nicht im Stande genau zu lokalisieren was und wo geblockt wird.
Ich habe sogar ein Alias mit allen offiziell bekannten Windows Update Servern gemacht, aber das scheint auch nicht zu helfen.

Im Anhang seht ihr meine "Fließende" Regel für Windows Updates

Habt ihr eine Idee?

LG
W0nderW0lf

Hi, thanks guys. :)
So many options, I overlooked that there is this "Real IP Source" in HTTP Server config. I've set it to X-Forwarded-For. I hope this will do the trick.

Hi Fright,

I have not edited the header configs. If it's default, most of my proxy config for this one host is too.
Do you think I have to change the incoming header (on the server with fail2ban) to read explicitly the source adress?
Any idea where I can filter this on my server?