Messages

Thanks for your time and your tests Passeri! It´s a possibility of course, that I got the "code string" wrong and I´m sure I did it wrong several times. I´m also sure though, that despite my lacking typing capabilities, I got it right some times. :) 
I will set 2FA up again this evening and do some further testing.

Hi!

Thanks, but system time was definitely not off.
I got in via console into my box and verified the system time was correct to a second. Veirfied ntp with ntpq -p, it has shown many reachable peers. Then I rebooted. 2FA still did not work. Updated from 25.1.2 to 25.1.3. Still no login possible, until I used "opnsense-shell password" to reset password and auth to local database.

Something is fishy.

Peter

Hi!
Not sure what's wrong, but 2FA stopped working since the update to 25.1 for me too. I'm using Google Authenticator, and it still works for every other login.

Hallo, danke für deine Anregungen! Diese und mein Zeitmangel haben mich überzeugt, keine besonderen Anstrengungen zu unternehmen... :)

Genau so mache ich es, es hat ein eigenes VLAN, läuft auf einem Proxmox als VM unter Alpine Linux.
Vielleicht leide ich an Paranoia, oder ein paar Jahrzehnte in der IT haben mir nicht gut getan.
Zu meiner Verteidigung kann ich noch erwähnen, dass so eine Funktion bei einigen namhaften Herstellern einfach vorhanden ist, man muss nur sehr wenig konfigurieren. Ich habe mir gedacht, dass es bei Opnsense vielleicht etwas einfacher zu implementieren ist, als es tatsächlich ist.
Leider nicht, aber ein Gedankenspiel war es wert. Vielleicht finde ich mal die Zeit irgend wann.

Ps.  Ja, das war kein fairer Vergleich, Opnsense bleibt mein Favorit, unschlagbares Preis/Leistungsverhältniss :)

@JeGr :  damit hast du mir ein paar Stunden unnötigen Arbeit wohl erspart  8)
@Viplex92: ja, das ist schon ein ordentlicher Aufwand, ich weiß es ehrlich nicht mehr wann ich dafür die Zeit finden werde. Einen Webserver zu hosten wäre nicht das Problem...

Danke für eure Untrestützung!

Kleine Ergänzung: Goolge sagt mir es heißt authpf:
https://www.openbsd.org/faq/pf/authpf.html

Und noch was: authpf scheint im FreeBSD auch zu existieren!

Vielen dank @JeGr! Ich habe noch nie von pf-auth gehört, aber das hilft mir weiter. Zwar wird es nicht so einfach möglich wie ich es mir gehofft hätte, aber ich benötige nur einen winzigen OpenBSD VM "vorschalten".
Der wird dann zwischen Opnsense und der Minecraftvm das Routing und eine zusätzliche Filtering machen.   
Mal sehen wann ich dafür Zeit finde, aber ich werde mal den pf-auth support als feature request für Opnsense einwerfen.

Hi we just had a discussion  on the german speaking forum https://forum.opnsense.org/index.php?topic=38260.0. I wanted to use the captive portal to authenticate users source IPs. Then use those sources to fill in some object and use that object in the firewall rules.

There seems to be no way to do that on Opnsense and as Patrick wrote: HAProxy simple authentication works only for HTTP.

Vielen Dank für die zahlreichen Antworten!

Ziel ist es nicht, unberechtigte Zugriffe zu verhindern, sondern die Server weniger im Internet zu exponieren und damit die Gefahr von Hackerangriffen zu verringern.   

Die Grundfunktion der CP war mir schon klar, aber ich kenne von einigen Firewallherstellern die Variante, die nicht nur nach MACs filtern kann.
Die Funktion die ich mir wünschen würde ist eben eine Firewallregel, die nur für bestimme SRC IPs greift, die in einem Objekt gespeichert sind. + eine Funktion die mir die SRC IP Objekt automatisch und dynamisch erstellt für die IPs die authentifiziert sind.
Also User Authentifiziert sich an einem Portal, seine IP wird in ein Objekt geschrieben, zusammen mit einer Zeitstempel. Nach einer konfigurierbaren Zeit wird die IP aus diesem Objekt entfernt.
Dann könnte ich einen Regel definieren: src:authentifizierteIPs, dst:MinecraftSrv, Accept.

Scheinbar ist diese Funktionalität auf Opnsense leider nicht verfügbar, da ihr es nicht kennt und ich keine Doku dafür gefunden habe.

@Sabo: eigentlich wäre der Aufwand nicht hoch, wenn diese Funktion von Opnsense unterstütz wäre. Ganz im Gegenteil, ich müsste mich nicht um VPN von allen Freunden meiner Söhne kümmern (Helpdesk für die 1a und für die 4a, urghh :o ). Wobei müsste ich mit dieser Methode den in Java geschriebenen Server nicht im Internet exponieren. Danke für die Links!   




   

Hallo, ich habe zu Hause einen Minecraft-Server, der ein eigenes VLAN hat und sowohl vom LAN als auch vom Internet aus erreichbar sein soll. Es funktioniert alles, aber ich habe Angst, den Server einfach für das ganze Internet zugänglich zu machen. Der Zugriff auf den Server soll einfach bleiben (einige Schulklassen sollen darauf zugreifen können), daher möchte ich kein VPN einrichten.

Meine Idee war, ein Portal zu konfigurieren (das integrierte Captive Portal), das nach erfolgreicher Authentifizierung die entsprechenden Firewallregeln für die Quell-IPs der authentifizierten Benutzer freischaltet.
Ich habe schon viel gesucht, aber bis jetzt nichts gefunden, außer diversen Anleitungen für ein Gastnetzwerk.
Ist soetwas mit Opnsense Bordmitteln überhaupt möglich?

Danke!

Hi Fright,

that would be great! As I have seen in that clip, you have already got some code for a copy to clipboard code!
That's not exactly what I mean (to give the option to the user to switch of the automatism for the input fields), but it's certainly a nice solution to this problem! Let's hope it'll find it's way into some forthcoming release.

Thanks!

Petrus

Hello Fright,
thanks, I appreciate your answer!

It might just be me being not a dev, but your solution looks to me more tedious then downloading the config.xml.  ;)

I think it is always important, that you can freely use the copy and paste functionality in whatever field you are on.
For Firewalls it's even more important then somewhere else, as they deal with a lots of ports/objects/entries.
Giving the user the ability to copy/paste something quickly, without the use of an API, is as important as ever.

This is one of the main reasons why people don't like to use the Windows GUI or are reluctant to stop using ASA Firewalls and buying a Firepower FW (that has APIs, as well, but copy and paste combined with grep, sed, awk, vim are something more readily accessible) ...

Maybe there is nothing wrong with tokenize2, but the GUI should just give the users the possibility switch it off if that gets into their way?

Regards!

Petrus

Hi,
sorry for the confusion: my post does not apply to the Options of Unbound only. I think this is a general problem: there is no easy way to copy or insert a list into any field in the Opnsense WebGUI!
Or I might not be aware of that.

BR
Petrus

Hi Fright,
thanks!  The details:
OPNsense 20.7.8-amd64 at my home, serving my family in lock down. My children and my wife are at home and we are living our lives mostly through diverse messaging/collaboration applications. Generally MS Teams, Skype, Zoom are used for school, Webex & Signal for other purposes. 
I tried out Unbound blacklists, which do work fairly well, but sometimes they randomly block some of those applications. Especially M$ related sites find their way into those blacklists, then those applications stop working.
So I have started to create a whitelist, which grew and grew. It became too long to type it in. I like to extract it  run it through sort -u make additions then put it back into that whitelisting field.
Here it is in the config backup:

Code Select Expand

<unboundplus>
      <miscellaneous version="0.0.2">
        <privatedomain>lan,vie.lan,kk.lan</privatedomain>
        <dotservers/>
      </miscellaneous>
      <dnsbl version="0.0.1">
        <service_enabled/>
        <enabled>1</enabled>
        <type>aa,ag,bla0,bla,blf,blm,blp,blr,blr0,bls,blt,bly,el,ep,sa,st,ws,wsu,wse</type>
        <lists/>
        <whitelists>admin\.onedrive\.com,ajax\.aspnetcdn\.com,ajax\.googleapis\.com,.*\.akadns\.net,.*\.akamaihd\.net,.*\.assets-yammer\.com,.*\.azure\.com,.*\.azurewebsites\.net,.*\.cloudapp\.net,.*\.cloudappsecurity\.com,.*\.cloudfront\.net,.*\.hockeyapp\.net,.*/live\.com,.*\.live\.com,.*\.localytics\.com,.*/login\.live\.com,.*/lw\.skype\.com,.*\.lync\.com,.*\.microsoft\.com,.*\.microsoftonline.com,.*\.microsoftonline\.com,.*\.microsoftonline-p.net,.*\.microsoftonline-p\.net,.*\.msedge\.net,.*\.*\.msidentity\.com,.*\.msidentity\.com,.*\.msocdn\.com,.*\.oaspapps\.com,.*\.office365\.com,.*\.office\.com,.*\.office\.net,oneclient\.sfx\.ms,.*\.onmicrosoft\.com,.*\.outlook\.com,.*\.outlookgroups\.ms,.*\.sfbassets\.com,.*\.sharepoint\.com,.*\.sharepointonline\.com,.*/skypeassets\.com,.*/skype\.com,.*\.skype\.com,.*\.skypeforbusiness\.com,.*/skype\.net,.*\.svc\.ms,.*\.sway-cdn\.com,.*\.sway\.com,.*\.trafficmanager\.net,.*\.uservoice\.com,.*/web\.skype\.com,.*\.windowsazure\.com,.*\.windows\.net,.*\.yammer\.com,.*\.yammerusercontent\.com</whitelists>
      </dnsbl>
    </unboundplus>


Petrus

Ps. no I don't like most of those applications myself, so much so, that we started to use them only halve a year ago as they have started to get useful on our Linux Desktops. Since everybody else is using them, we have to use them too...