OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of muc_marius »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - muc_marius

Pages: [1]
1
German - Deutsch / Re: avm fritz box vs opnsense
« on: June 07, 2018, 08:57:24 am »
Hallo,

vielen Dank für die ausführlichen Kommentare.

mir war der gedankengang wichtig, daß
- die wahrscheinlichkeit für die erkennung eines problems / fehlers bei der fritz box m.e. höher ist, da sie schlichtweg stark verbreitet ist
- daraus resultieren dann weitere dinge, wie bspw. eine stärkere kontrolle, bspw. nehmen sich fachleute / presse das zu eigen und führen untersuchungen durch auf die sicherheit usw.
- das passiert m.e. bei der opnsense nicht in dem masse, wie bei der fritz box, weil das interesse der allgemeinheit fehlt (wozu bspw sollte eine fachzeitschrift das mit den gleichen mitteln testen, wenn es keine signifikante anzahl an usern unter den lesern gibt ...)

das hat m.e. auch nichts mit "too big to fail" zu tun (ganz andere "strategie"), sondern einfach mit der (vermutlich!) viel höheren wahrscheinlichkeit, daß ein latentes problem auch erkannt wird.

ich stimme natürlich voll und ganz zu, daß die fritz box als closed source keine einblicke zulässt. die vereinfachte verwaltung hat im umkehrschluss alle damit verbundenen nachteile, wie schlechte einsicht durch den admin, prüfbarkeit des verhaltens usw.

letztlich läuft es am ende darauf hinaus: lasse ich die fritzbox machen und hoffe das probleme / fehler am markt schnell erkannt werden oder nehme ich das ganz selbst in die hand und setze mit opnsense auf eine professionelle lösung, die aber dann auch mehr einsatz von mir fordert.

das ist für mich immer noch die grübelfrage... ich hätte schon gerne viel mehr kontrolle, bspw. wohin funkt mein nas (wenn es überhaupt darf) und was davon will ich überhaupt zulassen usw. man könnte aber auch sagen: das ist paranoid, wozu solche gedanken machen. ich tue das aber tendentiell, daher kam der anlass zu diesem post.

vg



2
German - Deutsch / avm fritz box vs opnsense
« on: June 06, 2018, 10:54:55 am »

servus,

vielleicht ist es ja eine blöde frage, aber ich würde gerne eure ansichten dazu hören:

derzeit betreibe ich die reihenfolge

inet - cablemodem - opnsense - fritzbox - (alle geräte)

dh die fritzbox übernimmt dhcp, fw (also eher: filter für erlauben ausgehender kommunikation usw., quasi wie als wenn opnsense nicht vorgeschaltet wäre), opnsense selbst nur IPS und einige ganz wenige rules um bspw vpn durchzulassen.

ich habe also die sicherheit der millionenfach eingesetzten, von der presse und den usern "überwachten" fritz box. ein fehler darin würde vermutlich zügig auffallen PLUS der vorgeschalteten opnsense mit IPS usw.

wenn ich jetzt die reihenfolge ändere auf

inet - cablemodem - opnsense - (alle geräte, inkl. fritzbox)

dh die fritzbox kümmert sich nur noch als router um ähhh wlan? und alles andere mache ich über opnsense.

stelle ich mir die frage: bin ich jetzt besser / schlechter dran
- was die sicherheit angeht (opnsense nutzerzahl sicher weit unter fritz box, dafür mehr profis?)
- was die usability angeht (ich kann bei opnsense mehr falsch machen, da komplexer und ggf. nicht alles so funktioniert, wie ich denke usw.)

klar ist, ich kann bei der opnsense viel mehr eingreifen, steuern, überwachen usw. als es mit der fritz box geht. aber vllt mache ich einen kleinen fehler, und dann ist meine security im keller.

warum dann die frage? weil ich eigentlich tatsächlich die bessere und feingranularere steuerung nutzen möchte, bspw. sollen bestimmte geräte nur bestimmte adressräume im inet ansprechen dürfen usw. vielleicht sind das ja kanonen auf spatzen, aber ich würde gerne mal darüber diskutieren.

ich danke euch vorab für vielfältige ansichten & expertisen!

vg!

3
16.7 Legacy Series / too many rules in IPS?
« on: December 01, 2016, 10:47:04 am »
Hi all,

I am checking out opnsense for th first time & did some tests with IDS/IPS and rule(sets)...

Right now, I only have a personal rule enabled (geoip), but there are still >200 rules "active" in the rules-tab of IDS.

Question: Is this correct? Is it like a suricata-standard ruleset?

Thanks in advance,
m

4
German - Deutsch / Re: anfänger mit opnsense, architektur frage (vpn, fritzbox)
« on: October 02, 2016, 06:39:18 pm »
Hallo Franco,
hallo zusammen,

vielen Dank für Deine Tipps; ich denke, ich schreibe mal die Konfig kurz auf, vllt erkennt man ein Problem:

Es bleibt aus diversen Gründen erstmal bei WAN - OPN - Fritz - LAN.

Ziel: Zugriff von Aussen bspw. mittels iPad über VPN; aktuell OHNE OPN keine Problem.

AVM verlangt folgendes Setup:

+++SNIP+++++++++++++++

Richten Sie die Firewall so ein, dass sie
ein- und ausgehende Verbindungen
für folgende Ports und IP-Protokolle zulässt:

ESP ("Encapsulated Security Payload"; IP-Protokollnummer 50)

Hinweis:Die Freigabe des ESP-Protokolls wird in vielen NAT-Routern als "IPsec-Passthrough" bezeichnet.

UDP-Port 53 (DNS)
UDP-Port 500 (ISAKMP)
UDP-Port 4500 (NAT-Traversal)

+++SNIP+++++++++++++++

Mein grundsätzliches Verständnis ist nun, daß ich für o.g. Ports in OPN ein Port-Forwarding einrichte, denn OPN muss ja wissen, wohin diese Pakete sollen. Das mache ich dann auch:

NAT, Port Forward
- WAN UDP 53, 500, 4500 von * an "LAN address", "Dest. Port Range" jeweils entsprechender Port, "Redirect Targed IP" = IP der Fritz, "Redirect Target Port" = jeweiliger Port
- WAN ESP von * an ... wie oben ... jedoch Ports auf "any" lassen, nur "Red Target IP" = Fritz setzen

Unter OPN erhalte ich dann die Port Forward-Regeln und automatisch die FW-Regeln.

Damit *würde* ich jetzt mal denken: Sollte gehen. Geht aber nicht...

Mein iPad sagt lapidar: "Server antwortet nicht" (die DynDNS-Einträge habe ich im Blick dabei, aber die terminieren natürlich jetzt auf der OPN, nicht mehr auf der Fritz. Könnte das ein Problem sein?

Ich nehme auch gerne Angel statt Fisch, d.h. wenn ich was selbst irgendwo nachlesen / recherchieren kann, bin ich für Tipps dankbar.

Ich kann mir nunmal nicht vorstellen, warum das hier (eine Standardkonfig vielleicht) nicht einfach so klappt.

Besten Dank schonmal!


5
German - Deutsch / anfänger mit opnsense, architektur frage (vpn, fritzbox)
« on: September 29, 2016, 09:26:37 pm »
servus kollegen,

ich bin fw-anfänger, habe rudimentäre kenntnisse und bin ein bisschen überfordert aktuell - brauche mal unterstützung:

habe eine aktuelle opnsense VOR meiner fritz und nach meinem kabelmodem.

damit bin ich nach meinem kenntnisstand erstmal nicht unsicherer als ohne opnsense, korrekt?

jetzt nutze ich ein vpn zu einer anderen fritz; outbound kein problem, aber inbound kriege ich nicht ans fliegen.

mein verständnis: man muss bestimmte ports & services weiterleiten, so wie man bei AVM nachlesen kann. trotzdem kann ich von extern keine verbindung herstellen. ich habe versucht, mir die logs anzuschauen zur diagnose, aber da werde ich nicht fündig.

das liegt sicher an meiner fehlenden kenntnis; gibt es eine standard-anleitung (welche regeln auf (vermutlich) dem WAN IF ich einrichten muss), den wenn ich port forwarding nutze, werden diverse regeln ja automatisch eingestellt...

konfig konkret:

kabelmodem - opn - fritz - lan

ip-ranges sind alle schon unterschiedlich usw.

mir erscheint das eigentlich total simpel, aber es klappt einfach nicht: die verbindung wird immer abgebrochen, und auch die logs zeigen mir keinen hinweis.

besten dank,
M

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2