Messages

1

General Discussion / Re: crowdsec & DNSBL

« on: November 21, 2024, 08:11:17 pm »

how do you use it? I mean I couldnt find a place in WebUI/Unbound DNSBL where I can insert my own List. There are some what I can choose, but the HaGeZi's is not there.

2

General Discussion / crowdsec & DNSBL

« on: November 18, 2024, 07:29:32 am »

Hi All,

Does crowdsec also replace the DNSBL of Unbound or the lists from Firehol & co? Or are these more complementary things?

TiA

3

24.1 Legacy Series / Re: Kea DHCP IPv6?

« on: October 13, 2024, 08:59:34 am »

* Kea DHCP will gain DHCPv6 eventually

that would be nice because of the HA features

The mere fact that Kea is the only maintained effort for HA features will make it stick to the core, but honestly we do not like to see it become the default.

can you explain the reason?

4

General Discussion / Re: NAT64 with Tayga

« on: October 05, 2024, 09:41:08 am »

yeah that was the problem... DNS64 flag was set in unbound. Disabled and now is all as it should be...

5

General Discussion / NAT64 with Tayga

« on: October 04, 2024, 09:55:12 am »

Hi All,

After configuring IPv6, a RedHat program started behaving strangely (long waiting for a timout). I checked it with strace and found that it was trying to reach the address: 64:ff9b::d184:b210. I identified this as a NAT64 address of a Red Hat host. When I opened a ticket with Red Hat, they told me that the program does not support IPv6 and asked if I had configured NAT64/DNS64. I had not. Now I am trying it with Tayga, but something is not working.

The first question is, I use both ipv4 and ipv6 in my LAN. Do I need to configure NAT64? I read that you only need NAT64 if you have at least an IPv6-only network.
If that’s the case, is Red Hat doing something wrong, or is it my router configuration that’s messed up?

Second:
This is my Tayga Configuration:
IPv4 Address 192.168.254.3 (not used somwhere else)
IPv4 NAT64 Interface Address 192.168.253.1 (not used somwhere else)
IPv6 Address fd00:14::1
IPv6 NAT64 Interface Address 2a02:XXXX:XX:XX00:0::1 (I've got the prefix from my ISP: 2a02:XXXX:XX:XX/56)
IPv6 Prefix 64:ff9b::/96
IPv4 Pool 192.168.254.0/24
Custom IPv6 Routing not checked

(NAT, Normalization and FW Rule for Tayga Iface are configured)

Problem:
# traceroute6 64:ff9b::d184:b210
traceroute6 to 64:ff9b::d184:b210 (64:ff9b::d184:b210) from 2a02:XXXX:XX:XX00::1, 64 hops max, 28 byte packets
 1  fd00:14::1  0.124 ms  0.103 ms  0.191 ms

# ping6 64:ff9b::d184:b210
PING(56=40+8+8 bytes) 2a02:XXXX:XX:XX00::1 --> 64:ff9b::d184:b210
--- 64:ff9b::d184:b210 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss

What I'm doing wrong?

TiA
Greetz

6

24.1 Legacy Series / Re: Kea DHCP IPv6?

« on: September 25, 2024, 06:40:02 pm »

+1

7

General Discussion / Re: IPv6 with static prefix behind a router (FritzBox)

« on: September 25, 2024, 06:09:07 pm »

aaach have it... the backroute on the Fritz was missing/wrong

now everything works as it should

8

General Discussion / IPv6 with static prefix behind a router (FritzBox)

« on: September 25, 2024, 05:25:51 pm »

Hi all,

I have received a static IPv4 and a static IPv6 prefix from my internet provider. IPv4 is clear so far. I have a few questions about IPv6.

My setup:
ISP -> Fritzbox -> OPNsense -> LAN
Fritzbox and OPNsense are together in a DMZ (IPv4). The Fritzbox forwards everything to OPNsense (exposed host).

Is such a setup also possible with IPv6? I tried to create a /64 IPv6 DMZ network with the prefix from the ISP. OPNsense has an IPv6 address there, and I specified the fe80:: address of the Fritzbox as the gateway. I would prefer to avoid RA/DHCPv6 etc. and have everything static. Unfortunately, with this setup, I can only ping the fe80:: address of the Fritzbox from OPNsense but nothing in internet.
Am I thinking something wrong? I have some knowledge of IPv6, but I lack experience

Can someone help or recommend a how-to?

TiA
Greetz

9

German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)

« on: July 04, 2024, 07:16:41 pm »

manchmal will man wissen was man für eine IP am Ende des VPN Tunnels hat...

10

German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)

« on: July 04, 2024, 12:49:45 pm »

oki ich habs mit verschiedenen Speedtest URL's und statischen Regeln gelöst.

Eine Frage hätte ich noch. Es gibt ja simple Wege die eigene Public IP zu ermitteln.
curl ifconfig.me

man kann auch curl sagen von welchem Iface die Anfrage gestartet werden soll:
curl --interface $IFACE ifconfig.me

Was ich nicht verstehe ist, wenn ich hier eins von den wgX Interfaces benutze, würde ich die IP am Ende des jeweiligen Tunnels als Ausgabe erwarten. Ich bekomme aber überall die gleich und zwar die public IP OHNE TUNNEL.

Wieso?
Gleiches Prinzip wie oben? Wie könnte ich es trotzdem machen?

Danke im Voraus für Antworten!

11

German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)

« on: June 18, 2024, 04:15:14 pm »

weil? ich will einfach die 3 Wege von einem Punkt vergleichen können geschwindigkeitstechnisch... es gibt ja speedtest-cli

12

German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)

« on: June 18, 2024, 03:34:15 pm »

ja weil eben damit kann ich via speedtest die Geschwindigkeit eines Tunnels "messen".

Hmm wenn ich die "Routing" Settings sehe kann ich das so nicht machen wie ich es mir vorstelle...
Ich kann da nur Destination Address setzen.

Hmmm musste dann 3 speedtests IP's/URLs als Ziele für je einen Weg machen (wg1, wg2, plain) hmmmm 

13

German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)

« on: June 18, 2024, 02:17:20 pm »

naja ich habe an dem Iface ne Rule die alles an dem IFace zu der Wireguard GW leitet... da sollte doch auch alles von der src IP an dem iface auch über tunnel geschickt werden oder nicht?

14

German - Deutsch / Wireguard unverständliches Problem... (für mich)

« on: June 17, 2024, 08:04:38 pm »

Hallo,

ich habe 2 WG Verbindungen (Mullvad) in verschiedene Länder. Dies funktioniert soweit für einzelne Hosts aus meinem LAN (getestet).

Was ich seltsam finde, wenn ich sowas wie "curl --interface wg1 $url" oder "curl --interface $mullvad_iface_ip $url" an der Konsole ausführe greift er immer mit meiner "normalen" public IP und nicht mit der IP aus dem jeweiligem Ende des WG Tunnels...
Wieso? Was könnte mir da fehlen?

Es gibt je eine FW Rule für alle nicht private IP Hosts als Ziel auf jeweiligem Mullvad Interface mit GW über das Mullvad Interface und je eine NAT Rule die alles am Mullvad Iface auf die Iface Adresse NATed. Wie gesagt Hosts aus dem LAN funktionieren mit so einer Rule aber wieso nicht die IP's die direkt am wgX Interface hängen?

Auf Anfrage kann ich auch mehr Infos liefern...

Vielen Dank für eure Antworten im Voraus!

15

Intrusion Detection and Prevention / Re: FireHOL Block List ( Botnets, Attacks, Malware....)

« on: May 30, 2024, 08:45:28 am »

But the Firewall see the packet first at LAN inbound direction

thanks, that makes sense.

Here are the rules:

On LAN:
Action: Block
Interface LAN
Direction: in
Protocol: any
Source LAN net
Destination: My Firewall Alias


On WAN:
Action: Block
Interface: WAN
Direction: in
Protocol: Any
Source: My Firewall Alias
Destination: Any

it is ok to make "floating rules" for multiple interfaces?
something like this:

Action: Block
Interface LAN1, LAN2, LAN3, VPN1, VPN2
Direction: in
Protocol: any
Source any
Destination: My Firewall Alias exclude LAN1, LAN2, LAN3, VPN1, VPN2