Messages

Hi,

habe folgendes Problem, habe die DROP Lists von Spamhaus nach dieser Anleitung konfiguriert:
https://docs.opnsense.org/manual/how-tos/edrop.html

Dabei habe ich aber nur die Aliases angelegt und noch keine DROP oder Reject Regeln für diese Listen angelegt.
Nur das anlegen der Aliase reicht bei mir aus, dass OPNsense bei einem Reboot stehen bleibt.
Es bleibt stehen bei: "Configuring firewall..."
Normalerweise nimmt dieser Punkt überhaupt keine Zeit ein. Nach ca. 2 Minuten warten, bin ich zum Snapshot meiner OPNsense VM zurückgegangen.

Hat jemand eine Idee?

Grüße
Titzi266

Also über den nginx wird es auch schwierig, wenn man mehrere name-based vHosts auf 80 und 443/TCP betreibt, OpenVPN connections namensbasiert an OpenVPN weiterzugeben, da vom Client natürlich kein HTTP Header mit name mitgegeben wird.

Problem am port-share von OpenVPN war, dass in den Logs am nginx nur noch die IP von OPNsense sichtbar war und es ca. 3 Sekunden nach einer Client Verbindung zu einem vHost gedauert hat, bis OpenVPN es weitergereicht hat an den nginx.

Daher fallen für mich für den OpenVPN leider 80/TCP und 443/TCP raus.

Was kann man denn noch empfehlen, was in den meisten public WLANs offen ist?
Genauer gesagt geht es mir z.B. um Hotel-WLANs (auch im Ausland), öffentliche WLANs bei Starbucks usw.
80/TCP und 443/TCP wären eigentlich optimal gewesen (mal abgesehen davon, dass es TCP statt UDP ist), da diese eigentlich immer offen sind.

Was gibt es denn noch was (fast) "immer" offen ist?
53/UDP? Viele verwenden vermutlich interne DNS und haben es daher nach außen zu, oder?
21/TCP? FTP, wahrscheinlich auch oft zu, oder?
Gibt es ganz andere Ideen?
Was verwendet ihr für OpenVPN?

Wäre für Tipps dankbar. :)

Grüße
Titzi266

Ok, es lässt sich direkt im Webinterface hinterlegen.
Unter Advanced habe ich nun folgendes beim OpenVPN Server:
keepalive 1800 3600;
push "redirect-gateway def1 bypass-dhcp";
port-share 10.2.0.6 443;

Allerdings kommt so tatsächlich in den Logs des Webservers die IP von OPNsense an und nicht mehr die externe IP die etwas aufruft. Außerdem dauert es ca 3 Sekunden bis die Seiten laden, da OpenVPN zu lange braucht, bis es die Anfrage weiter gibt. Etwas doof alles. Muss es doch über den nginx versuchen...

Hi,

> So ich verstehe hast du eine größere Hardware und da mehrere VMs die du mit der Sense dann nach außen hin absicherst. Korrekt?

Korrekt

> Ist die Bezeichnung intern nicht irreführend, wenn es die Seite ist, die du der Fritzbox zukehrst? Dann wär es ja eher WAN/extern?

Ja, stimmt ist eher extern/WAN. Eigentlich habe ich kein Internes Netz momentan. Nur DMZ und WAN. Im WAN befinden sich aber meine Client Geräte.

> Warum so umständlich und nicht einfach exposed Host auf die 10.0.0.254? Wenn die Fritz nur WLAN macht und damit default NAT nach außen ist das egal und keine Beeinträchtigung. Man hat aber nur einen Punkt an dem ma konfiguriert und muss nicht an 2 Kisten herumschrauben.

Aus Sicherheitsgründen. So bin ich sicher, dass die FritzBox schon nur 443/TCP (und 80/TCP) an OPNsense weitergibt. Klar ist mehr Aufwand als der Exposed Host aber stört mich nicht, da nehme ich lieber den Tick mehr Sicherheit ;)

> Server VMs sollten kein DHCP nutzen. Das ist zwar praktisch aber in solch einem Setup sehr ungünstig, da sich die IPs ändern könnten wenn kein static mapping gemacht wird. Und wenn dieses schon gemacht wird - warum dann nicht gleich die VM statisch konfigurieren? Damit sind die meisten VMs auch noch schneller am Start und können fixer booten.

Danke für den Hinweis. Ist mir aber bewusst. Habe überall statisches DHCP, also fest zugewiesene IPs zu MAC Adressen, daher kein Problem.

Dein Vorschlag gefällt mir sehr gut, wäre auch meine präferierte Lösung. Allerdings habe ich dann nicht nur FritzBox + physikalischen Server an stromfressenden Geräten, sondern auch noch einen WLAN Accesspoint, der Strom zieht.
Mal Geld ausgeben für einen WLAN-AP ist nicht das Problem, mir geht es darum das ganze Stromsparend zu haben.
Daher halte ich auch so am WLAN der FritzBox fest. ;)

Die FritzBox einfach durch einen Router mit 2 Interfacen (DMZ und LAN) + WLAN zu ersetzen ist leider auch schwierig, da die FritzBox auch DECT macht....

Aber wenn generell nichts gegen dieses Konstruckt, dass ich vom Internet über eine IP im Client Netz (in meinem Fall eher extern) an OPNsense gehe und dahinter die DMZ ist, spricht eigentlich auch überhaupt nichts dagegen es so zu lassen oder?

Grüße
Titzi266

Genau da liegt mein Problem beim Port-Share. Soweit ich weiß, würde ich dann am Web-Server in den Logs die IP von OPNsense / OpenVPN sehen, statt der externen IP. Oder kann man die original IP durchreichen an den Web-Server?

Kann ich im OPNsense Webinterface Einstellungen wie port-share x.x.x.x 443 setzten oder geht das nur auf der Shell im OpenVPN Config file?

Danke. Ich glaube ich versuche OpenVPN auf 444/TCP lauschen zu lassen und den nginx Anfragen auf vpn.[domain] weiterleiten zu lassen an die OPNsense DMZ IP auf 444.
So kommen Anfragen per 443/TCP rein, zum nginx und von dort zum OpenVPN.

Hi,

ich benutze zur Zeit OpenVPN auf 1194/UDP (dem OpenVPN Standard Port).
Ich suche allerdings einen "sinnvolleren" Port. 1194/UDP ist oft in public WLANs über Firewalls geblockt und damit ist dann kein VPN möglich.
Welchen Port würdet ihr denn empfehlen? Bräuchte irgendein Port, der "immer" frei ist.

Auf 443/TCP habe ich einen nginx laufen.

Grüße
Titzi266

Danke! Ich mache es mittlerweile über Check_MK.
Ich lasse die Logs von OPNsense an den Syslog-Server von Check_MK (MKeventd) senden.
Check_MK matcht dann auf bestimmte Strings und setzt Checks auf Warning oder Cirtical und sendet entsprechende Mails.

Danke!

Gibt es eine Möglichkeit über die API and die Logs zu kommen?

Habe nur das hier gefunden: https://docs.opnsense.org/development/how-tos/api.html

Enthält aber nichts außer dem API Befehl zum Prüfen auf Updates. Gibt es eine detailliertere API Dokumentation?

Hi,

ist es möglich von OPNsense eine E-Mail zu erhalten, wenn sich jemand am in OPNsense integrierten OpenVPN anmeldet?
Außerdem hätte ich gerne eine E-Mail, wenn eine bestimmte IP-Adresse X mal geblockt wurde.

Ist es möglich da irgendwelche E-Mail Notifications basierend auf log messages oder so zu versenden?

Versendet OPNsense eine E-Mail wenn Updates für OPNsense oder irgendwelche Plugins verfügbar sind?
Ich will ja nicht stänfig im Web Interface kontrollieren müssen.  ;)

Danke
Titzi266

[Mein Netz sieht wie folgt aus:]

Hallo,

ich benutze seit kurzem OPNsense. (Als virtuelle Maschine in KVM)

Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:

- Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
- Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).

Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.

Mein Netz sieht wie folgt aus:

Internet > FritzBox > [ OPNsense Interface INTERN  | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.

FritzBox:
- IP: 10.0.0.1
- Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
- Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
- Stellt WLAN bereit

physikalischer Server auf dem OPNsense als VM in KVM läuft:
- IP eth0: 10.0.0.100
- Default GW: 10.0.0.1 (FritzBox)

OPNsense:
- IP (INTERN): 10.0.0.254
- IP (DMZ): 10.2.0.254
- OpenVPN Server mit Tunnel Netz: 10.8.0.0/24

VMs im virtuellen DMZ Netz:
- IP: 10.2.0.X (per DHCP von OPNsense)
- Default GW: 10.2.0.254 (OPNsense)


Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
1. Wie kritisch seht ihr dieses Sicherheitsproblem?

2. Wie könnte ich das Netzwerk schlauer aufbauen?
Theoretisch könnte ich die FritzBox in ein anderes Netz setzten und an ein neues/separates Interface der OPNsense VM hängen.
Dannn hätte OPNsense die folgenden Interface:
- EXT (Netz der FritzBox, z.B. 10.5.0.254 / 24)
- LAN (Alle internen Geräte, 10.0.0.254 / 24)
- DMZ (Alle VMs im virtuellen DMZ auf KVM, 10.2.0.254 / 24)

Problem hierbei wäre, dass dann meine WLAN Geräte in dem externen Netzwerk wären.
Könnte aber dann samtlichen Traffic auf dem EXT interface in OPNsense erlauben (mit Ausname der FritzBox selbst)
Macht das Sinn?

Gibt es ganz andere Ideen, wie ich mein Problem mit der DMZ die durch ein internes Interface ereichbar ist lösen kann?

Danke
Titzi266

Hi,

ich habe leider keine Idee was bei dir für ein Problem vorliegen könnte. Klingt für mich eventuell nach asynchronem routing.

Ich habe mein Problem lösen können. Habe OPNsense einfach nochmal komplett neu installiert und das OpenVPN neu konfiguriert. Nun geht alles. Keine Ahnung was davor los wahr. Vielleicht irgendeine andere bestehende Regel von meinen Tests, die nicht im Log aufgetaucht ist.

Grüße
Titzi266

[Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:]

Hallo,

ich benutze seit kurzem OPNsense. (Als virtuelle Maschine in KVM)

Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:

- Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
- Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).

Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.


Mein Netz sieht wie folgt aus:

Internet > FritzBox > OPNsense Interface INTERN  | OPNsense Interface DMZ < VMs im virtuellen DMZ Netz.

FritzBox:
- IP: 10.0.0.1
- Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
- Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)

physikalischer Server auf dem OPNsense als VM in KVM läuft:
- IP eth0: 10.0.0.100
- Default GW: 10.0.0.1 (FritzBox)

OPNsense:
- IP (INTERN): 10.0.0.254
- IP (DMZ): 10.2.0.254
- OpenVPN Server mit Tunnel Netz: 10.8.0.0/24

VMs im virtuellen DMZ Netz:
- IP: 10.2.0.X (per DHCP von OPNsense)
- Default GW: 10.2.0.254 (OPNsense)

Das Problem:
Nun habe ich auf der FritzBox unter anderem ein Port Forwarding für 1194/UDP nach 10.0.0.254 (OPNsense Interface im Netz der FritzBox).
In OPNsense habe ich eine NAT Rule die mich für 1194/UDP zu 10.2.0.254 (DMZ Adresse von OPNsense) bringt.
Der OpenVPN Server lauscht auf dem Interface 10.2.0.254 von OPNsense.
In OpenVPN habe ich folgendes bei IPv4 Local Networks eingetragen: 10.0.0.0/24,10.2.0.0/24

Nun wäre meine Erwartung, dass ich Routen zu diesen Netzen per VPN bekomme und diese erreichen kann per VPN.

Als Client Specific Override habe ich folgendes (um eine Feste IP auf dem VPN Client zu bekommen):
ifconfig-push 10.8.0.22 255.255.255.0;
Funktioniert auch.

Ich habe hier auch schon auf folgendem Wege die Routen versucht zu pushen:
push "route 10.0.0.0 255.255.255.0 10.8.0.1"

Ich kann nur das VPN-Gateway 10.8.0.1 und andere Clients im VPN Netz erreichen aber nicht die Netze 10.0.0.0/24 und 10.2.0.0/24.

Im Firewall Log sehe ich nichts was blockt aber auch die Verbindungen gar nicht ankommen. Vermute also daher, dass das Problem noch weiter vorne liegt.1

Der Client ist übrigens ein Android Gerät mit dem offiziellen OpenVPN Client aus dem Google PlayStore.
Hier sieht es gut aus. Bekomme folgende Ausgaben am Client:
[route] 10.0.0.0 255.255.255.0
[route] 10.8.0.0 255.255.255.0
[route] 10.0.0.0 255.255.255.0 10.8.0.1
[topology] subnet

Kleine Info noch: Ich habe noch eine separate OpenVPN VM in der DMZ (10.2.0.X mit OPNsense als default Gateway).
Wenn ich die NAT Rule in OPNsense auf diese VM biege (statt das DMZ Interface von OPNsense) bekomme ich über diese VM VPN und dann auch an alle gewünschten Netze ran.
Nur den OpenVPN Server innerhalb von OPNsense bekomme ich nicht ans Laufen.

Hat jemand eine Idee wo es hängen könnte?

Danke für eure Hilfe.
Titzi266