Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - petrus

Pages: [1] 2

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: March 04, 2024, 04:17:38 pm »

Hallo, danke für deine Anregungen! Diese und mein Zeitmangel haben mich überzeugt, keine besonderen Anstrengungen zu unternehmen...

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: February 12, 2024, 10:01:17 pm »

Genau so mache ich es, es hat ein eigenes VLAN, läuft auf einem Proxmox als VM unter Alpine Linux.
Vielleicht leide ich an Paranoia, oder ein paar Jahrzehnte in der IT haben mir nicht gut getan.
Zu meiner Verteidigung kann ich noch erwähnen, dass so eine Funktion bei einigen namhaften Herstellern einfach vorhanden ist, man muss nur sehr wenig konfigurieren. Ich habe mir gedacht, dass es bei Opnsense vielleicht etwas einfacher zu implementieren ist, als es tatsächlich ist.
Leider nicht, aber ein Gedankenspiel war es wert. Vielleicht finde ich mal die Zeit irgend wann.

Ps. Ja, das war kein fairer Vergleich, Opnsense bleibt mein Favorit, unschlagbares Preis/Leistungsverhältniss

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: February 12, 2024, 06:48:04 pm »

@JeGr : damit hast du mir ein paar Stunden unnötigen Arbeit wohl erspart

@Viplex92: ja, das ist schon ein ordentlicher Aufwand, ich weiß es ehrlich nicht mehr wann ich dafür die Zeit finden werde. Einen Webserver zu hosten wäre nicht das Problem...

Danke für eure Untrestützung!

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: February 06, 2024, 11:04:21 am »

Kleine Ergänzung: Goolge sagt mir es heißt authpf:
https://www.openbsd.org/faq/pf/authpf.html

Und noch was: authpf scheint im FreeBSD auch zu existieren!

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: February 06, 2024, 10:55:42 am »

Vielen dank @JeGr! Ich habe noch nie von pf-auth gehört, aber das hilft mir weiter. Zwar wird es nicht so einfach möglich wie ich es mir gehofft hätte, aber ich benötige nur einen winzigen OpenBSD VM "vorschalten".
Der wird dann zwischen Opnsense und der Minecraftvm das Routing und eine zusätzliche Filtering machen.
Mal sehen wann ich dafür Zeit finde, aber ich werde mal den pf-auth support als feature request für Opnsense einwerfen.

24.1 Legacy Series / Re: Minecraft Servers Help Needed

« on: January 25, 2024, 01:09:09 pm »

Hi we just had a discussion on the german speaking forum https://forum.opnsense.org/index.php?topic=38260.0. I wanted to use the captive portal to authenticate users source IPs. Then use those sources to fill in some object and use that object in the firewall rules.

There seems to be no way to do that on Opnsense and as Patrick wrote: HAProxy simple authentication works only for HTTP.

German - Deutsch / Re: Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: January 24, 2024, 02:06:32 pm »

Vielen Dank für die zahlreichen Antworten!

Ziel ist es nicht, unberechtigte Zugriffe zu verhindern, sondern die Server weniger im Internet zu exponieren und damit die Gefahr von Hackerangriffen zu verringern.

Die Grundfunktion der CP war mir schon klar, aber ich kenne von einigen Firewallherstellern die Variante, die nicht nur nach MACs filtern kann.
Die Funktion die ich mir wünschen würde ist eben eine Firewallregel, die nur für bestimme SRC IPs greift, die in einem Objekt gespeichert sind. + eine Funktion die mir die SRC IP Objekt automatisch und dynamisch erstellt für die IPs die authentifiziert sind.
Also User Authentifiziert sich an einem Portal, seine IP wird in ein Objekt geschrieben, zusammen mit einer Zeitstempel. Nach einer konfigurierbaren Zeit wird die IP aus diesem Objekt entfernt.
Dann könnte ich einen Regel definieren: src:authentifizierteIPs, dst:MinecraftSrv, Accept.

Scheinbar ist diese Funktionalität auf Opnsense leider nicht verfügbar, da ihr es nicht kennt und ich keine Doku dafür gefunden habe.

@Sabo: eigentlich wäre der Aufwand nicht hoch, wenn diese Funktion von Opnsense unterstütz wäre. Ganz im Gegenteil, ich müsste mich nicht um VPN von allen Freunden meiner Söhne kümmern (Helpdesk für die 1a und für die 4a, urghh

). Wobei müsste ich mit dieser Methode den in Java geschriebenen Server nicht im Internet exponieren. Danke für die Links!

German - Deutsch / Sicherer Betrieb lokaler Minecraft-Server - Authentifizierung über ein Portal

« on: January 21, 2024, 10:54:08 am »

Hallo, ich habe zu Hause einen Minecraft-Server, der ein eigenes VLAN hat und sowohl vom LAN als auch vom Internet aus erreichbar sein soll. Es funktioniert alles, aber ich habe Angst, den Server einfach für das ganze Internet zugänglich zu machen. Der Zugriff auf den Server soll einfach bleiben (einige Schulklassen sollen darauf zugreifen können), daher möchte ich kein VPN einrichten.

Meine Idee war, ein Portal zu konfigurieren (das integrierte Captive Portal), das nach erfolgreicher Authentifizierung die entsprechenden Firewallregeln für die Quell-IPs der authentifizierten Benutzer freischaltet.
Ich habe schon viel gesucht, aber bis jetzt nichts gefunden, außer diversen Anleitungen für ein Gastnetzwerk.
Ist soetwas mit Opnsense Bordmitteln überhaupt möglich?

Danke!

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 23, 2021, 06:23:41 pm »

Hi Fright,

that would be great! As I have seen in that clip, you have already got some code for a copy to clipboard code!
That's not exactly what I mean (to give the option to the user to switch of the automatism for the input fields), but it's certainly a nice solution to this problem! Let's hope it'll find it's way into some forthcoming release.

Thanks!

Petrus

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 22, 2021, 02:44:59 pm »

Hello Fright,
thanks, I appreciate your answer!

It might just be me being not a dev, but your solution looks to me more tedious then downloading the config.xml.

I think it is always important, that you can freely use the copy and paste functionality in whatever field you are on.
For Firewalls it's even more important then somewhere else, as they deal with a lots of ports/objects/entries.
Giving the user the ability to copy/paste something quickly, without the use of an API, is as important as ever.

This is one of the main reasons why people don't like to use the Windows GUI or are reluctant to stop using ASA Firewalls and buying a Firepower FW (that has APIs, as well, but copy and paste combined with grep, sed, awk, vim are something more readily accessible) ...

Maybe there is nothing wrong with tokenize2, but the GUI should just give the users the possibility switch it off if that gets into their way?

Regards!

Petrus

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 21, 2021, 08:24:24 pm »

Hi,
sorry for the confusion: my post does not apply to the Options of Unbound only. I think this is a general problem: there is no easy way to copy or insert a list into any field in the Opnsense WebGUI!
Or I might not be aware of that.

BR
Petrus

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 21, 2021, 08:20:23 pm »

Hi Fright,
thanks! The details:
OPNsense 20.7.8-amd64 at my home, serving my family in lock down. My children and my wife are at home and we are living our lives mostly through diverse messaging/collaboration applications. Generally MS Teams, Skype, Zoom are used for school, Webex & Signal for other purposes.
I tried out Unbound blacklists, which do work fairly well, but sometimes they randomly block some of those applications. Especially M$ related sites find their way into those blacklists, then those applications stop working.
So I have started to create a whitelist, which grew and grew. It became too long to type it in. I like to extract it run it through sort -u make additions then put it back into that whitelisting field.
Here it is in the config backup:

Code: [Select]

 <unboundplus>
      <miscellaneous version="0.0.2">
        <privatedomain>lan,vie.lan,kk.lan</privatedomain>
        <dotservers/>
      </miscellaneous>
      <dnsbl version="0.0.1">
        <service_enabled/>
        <enabled>1</enabled>
        <type>aa,ag,bla0,bla,blf,blm,blp,blr,blr0,bls,blt,bly,el,ep,sa,st,ws,wsu,wse</type>
        <lists/>
        <whitelists>admin\.onedrive\.com,ajax\.aspnetcdn\.com,ajax\.googleapis\.com,.*\.akadns\.net,.*\.akamaihd\.net,.*\.assets-yammer\.com,.*\.azure\.com,.*\.azurewebsites\.net,.*\.cloudapp\.net,.*\.cloudappsecurity\.com,.*\.cloudfront\.net,.*\.hockeyapp\.net,.*/live\.com,.*\.live\.com,.*\.localytics\.com,.*/login\.live\.com,.*/lw\.skype\.com,.*\.lync\.com,.*\.microsoft\.com,.*\.microsoftonline.com,.*\.microsoftonline\.com,.*\.microsoftonline-p.net,.*\.microsoftonline-p\.net,.*\.msedge\.net,.*\.*\.msidentity\.com,.*\.msidentity\.com,.*\.msocdn\.com,.*\.oaspapps\.com,.*\.office365\.com,.*\.office\.com,.*\.office\.net,oneclient\.sfx\.ms,.*\.onmicrosoft\.com,.*\.outlook\.com,.*\.outlookgroups\.ms,.*\.sfbassets\.com,.*\.sharepoint\.com,.*\.sharepointonline\.com,.*/skypeassets\.com,.*/skype\.com,.*\.skype\.com,.*\.skypeforbusiness\.com,.*/skype\.net,.*\.svc\.ms,.*\.sway-cdn\.com,.*\.sway\.com,.*\.trafficmanager\.net,.*\.uservoice\.com,.*/web\.skype\.com,.*\.windowsazure\.com,.*\.windows\.net,.*\.yammer\.com,.*\.yammerusercontent\.com</whitelists>
      </dnsbl>
    </unboundplus>

Petrus

Ps. no I don't like most of those applications myself, so much so, that we started to use them only halve a year ago as they have started to get useful on our Linux Desktops. Since everybody else is using them, we have to use them too...

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 21, 2021, 05:20:47 pm »

Hello,

the only thing I was able to figure out is as follows:

exporting the config via a config backup: https://<your router>/diag_backup.php.
editing with some text editor
import the xml with reboot checked

The issue with this is the reboot, which takes pretty long. I changed Services/Unbound DNS/Blacklist/Whitelist Domains successfully.

However, as long as I don't reboot, the new whitelist does not appear.
That might be a bug...

A better workaround would still be nice!

Petrus

General Discussion / Re: better way to import network address ranges for traffic shaping?

« on: January 21, 2021, 02:57:12 pm »

Hello!

No sorry I don't have a solution, and I find it very frustrating as well. I have the same issue at many input fields.
I cant input more then a single item at once and I cant copy the whole list at once.

I am sure there is something I have overlooked, but I just cant figure it out.

Any hints would be greatly appreciated from someone more knwoledgeable!

Thanks!

Petrus

General Discussion / Re: home network with two opnsense firewalls, and split- DNS

« on: February 07, 2020, 03:18:00 pm »

Quote from: chemlud on February 06, 2020, 06:59:46 pm

eeehhhhh.... https://en.wikipedia.org/wiki/Reserved_IP_addresses ***cough***

Hi,

well not that this will matter much for any home network, but, no 192.0.0.0/24 is not meant to be used for private networks.

rfc6890:

Address Block | 192.0.0.0/24 [2]
[...]
[2] Not usable unless by virtue of a more specific
reservation.
|
2.1. Assignment of an IPv4 Address Block to IANA

Table 7 of this document records the assignment of an IPv4 address
block (192.0.0.0/24) to IANA for IETF protocol assignments. This
address allocation to IANA is intended to support IETF protocol
assignments.

Petrus

Pages: [1] 2