Messages

apt-get check liefert keine Fehler. apt-get -f kenn er nicht.

Ich dachte grade es könnte ein IP-V6 Problem sein und hab bei der Netzwerkkonfiguration von Ubuntu V6 deaktivert.
Das Ergebnis ist das gleiche. Ich werd mal in nem Ubuntu-Forum nachfragen.

Vielen Dank für die Hilfe jedenfalls

das ist ja das komische. Wenn ich die Seite im Browser aufrufen, bin ich sofort drauf.
Ich sehe auch in der Live-View der FW nichts was geblockt würde *grübel

Hallo Forum,

ich habe eine OPNSense laufen hinter der ein Ubuntu Client läuft.
Es geht soweit alles. Web, Mail, etc., nur die Updates (apt-get update / upgrade) wollen nicht durch (Das Netzwerk ist nicht erreichbar). Muss ich da noch eine spezielle Regel anlegen ?

Danke und Gruß
Rocky

Hallo Forum,

kann mir jemand helfen; ich möchte eine Firewallregel erstellen, die den Zugriff auf NFS-Freigaben erlaubt.
Welche Ports muss ich frei geben ? (Protokoll vermutlich TPC/UDP).

Vielen Dank und Gruß
Rocky

Geht !!
Ich hatte noch einen falschen Punkt bei der Authentifizierung. Jetzt tus :-)
Auch wenn im Datenverkehrsgraph kein VPN-Verkehr angezeigt wird, aber das ist Nebensache *g

Hallo Forum,

nächstes Problem bei meiner Einarbeitung in OPNsense.
Ich habe OpenVPN nach dem HowTo eingerichtet:

https://wiki.opnsense.org/manual/how-tos/sslvpn_client.html

Die Sense lässt aber noch keinen Traffic durch. Ich sehe im Live view dass Anfragen von Außen zwar ankommen mit Ziel WAN-Schnittstelle der Sense, aber eine "default deny route" verbietet noch den Zugriff. Ich blicks grad nicht mit den Regeln

Hallo fabian,

danke für Deinen Beitrag. Die Idee klingt auch ganz gut. Aber da ich noch zwei andere Maschinen über Portweiterleitung an der Fritz-Box hänge habe, werde ich wohl erst mal Variante 1 testen...

Hallo JeGr,

Du hast natürlich recht; ich hab nur die halbe Wahrheit erzählt. Sorry.
Das interne Beinchen (und die Web VM) laufen im Host Only. Sense hat das WAN-Beinchen in meinem LAN. So klappts auch mit der Außenwelt.

Bedeutet also, DynDNS-Client auf der Sense. Dann auf der Fritzbox Portweiterleitung zur Sense-WAN. Und auf der Sense nochmal eine Portweiterleitung zum Webserver, oder ?

Vielen Dank und Gruß

Rocky

Hallo Forum,

langsam arbeite ich mich in OPNsense ein. Jetzt brauche ich mal Hilfe/Denkanstoß.
Nächste Disziplin: Webserver hinter die Firewall hängen.

Meine Konstellation: Fritzbox, OPNSense mit Host only Netzwerk in ner VM.

Ohne FW habe ich z.B. einen Rasperry mit nem DynDNS-Client laufen und mache an der Fritzbox ein Port-Forwarding auf den Raspi.

Wie müsste die Konfiguration aussehen wenn der Webserver auch auf einer VM im Host only Netz läuft ?
Wo muss der DynDNS-Client laufen und wie krieg ich den Traffic an den Webserver durchgeschleust ?

Danke für Euere Hilfe

DHCP klappt jetzt von der FW. Aber irgendwas mach ich mit dem DNS noch falsch. Da kriegt der Vlient nichts von der FE geliefert

Danke für die schnelle Antwort.
Das Problem sitzt wieder mal vor dem Rechner.
Ich habe in der Virtualbox den DHCP-Server aktiviert und da kriegt der Linux-Rechner in der VM wohl keinen DNS-Server.
Den habe ich jetzt ausgeschaltet und den DHCP-Server von der Sense eingerichtet.
Das tut aber jetzt auch noch nicht. Der Client hat immer noch die alte IP vom VBox-DHCP *verzweifel

Nachtrag: Es liegt wohl an der Namensauflösung.
Der DNS-Resolver läuft auf der FW, aber der Rechner hinter der FW bekommt keine Namen aufgelöst.
Was habe ich da falsch gemacht ?

Ich würde das ganze einfach mal auf virtueller Basis machen.

- In VirtualBox ein Host-Only Netzwerk einrichten mit IP 192.168.1.2 (das ist die IP deines Rechners im HostOnly Netzwerk)

- VirtualBox installieren, eine OPNsense Instanz aufbauen mit 2 Netzwerkinterfaces
- Netzwerk 1: Bridged auf deine LAN/WLAN Karte
- Netzwerk 2: HostOnly Netzwerk von oben
- OPNsense konfigurierst du WAN-seitig mit Netzwerk 1 und DHCP, LAN-seitig mit fester IP 192.168.1.1

Effekt:
Du hast eine OPNsense, die über die Netzwerkkarte deines Rechners mit Internet gespeist ist. Und du hast ein virtuelles Netzwerk 192.168.1.0/24. Über deinen Rechner erreichst du die Sense mit 192.168.1.1 und dein eigener Rechner hat die 192.168.1.2.

Jetzt kannst du nach Belieben weitere virtuelle Rechner starten in VirtualBox. Gebe ihnen als Netzwerkinterface ienfach das HostOnly Netzwerk und sie werden somit LAN Rechner für deine OPNsense. So kannst du auch nach Belieben testen

Ich habe meine OPNSense jetzt nach dieser Idee in der VM umkonfiguriert. Geht soweit. Allerdings lässt er kein FTP mehr zu, obwohl ich den FTP-Proxy konfiguriert und an der FW erst mal die LAN to ANY Regel gelassen habe.
Wo kann ich denn einsehen, wo FTP geblockt wird ? Ich finde in keinem Protokoll einen Eintrag :-(

Was ich auch festgestellt habe: In der FW habe ich meinen internen DNS-Server eingetragen, ich sehe am DNS-Server aber nicht, dass die FW Abfragen macht... *grübel

Vielen Dank für Euere Hinweise !

@magicteddy: Dein Vorschlag ist eine Weltidee ! Wird gleich notiert *kritzel

Zu Test- und Einarbeitungszwecken habe ich OPNsense im Moment ohnehin in einer VM laufen und werde sie mal nach dem Vorschlag von nasq umkonfigurieren. Muss nur schauen, dass ich es hinbekomme dass OS dann meinen DNS-Server (PiHole) nutzt...
Und dann heißt es: Wir lernen Regeln schreiben..

Hallo Forum,

ich taste mich gerade langsam an das Thema Firewall ran.
Sicher wäre die beste Lösung das Netz zu Hause zu segmentieren wie man das üblicherweise so macht.
Davon abgesehen dass die FW hinter der Fritzbox dann auch das Portforwarding schwieriger macht, ist das größte Problem wieder mal der Layer-8: Ich trau mir das ganze auf einen Rusch noch nicht zu.

Jetzt meine Überlegung: Ich integriere die FW erst mal ins bestehende Netz und konfiguriere auf allen Geräten die FW als Gateway und nicht mehr die Fritzbox.
Somit würde der gesamte Traffic über die FW laufen und ich könnte/müsste dann eben über entsprechende Regeln bestimmen wir mit wem wohin darf. Das wäre im Heimnetz noch überschaubar und ich könnte nach und nach die Geräte umstellen und nicht alles auf einmal.

Wo ist mein Denkfehler, bzw. welche Nachteile handle ich mir damit ein ?

Viele Dank für Euere Ideen