Messages

Hi,

just wondering: I setup sensei to block advertisments. Sometimes I get the page:

#################
The page you are trying to access is restricted by your organization.

Reason:   Advertisements site access
Client IP:   192.168.1.30
Remote IP:   91.215.103.xxx
Application:   Web Browsing
Application Category:   Web Browsing
Web Category:   Advertisements
#################

And sometimes the connection is just reset: ERR_CONNECTION_CLOSED

Why is this?

Thanks and best regards
Marco

Hi,

mein WAN Interface liegt im Netz 192.168.0.0/24 und mein LAN im 192.168.1.0/24.
Davor rödelt ein Speedport Hybrid Router im WAN Netz.

Nun habe ich IDS aktiviert und das Testruleset OPNsense-App-detect/test heruntergeladen. Es wird mir als enabled angezeigt. Input Filter ist auf drop gestellt. Rule ist ebenfalls drop.

Wenn ich nun den Eicar Testvirus herunterlade, dann wird der Download nicht geblockt. Ich sehe in den IDS Logs, dass Eicar erkannt wurde (auf beiden Interfaces, WAN und LAN), aber Action ist allowed.

Kann mir das mal jemand erklären?

Viele Grüße
Marco

Hi,

greetings from germany.  :)
Great so see such a powerful addon for OPNSense. It was the reason to migrate my APU2C4 to VMWare on HPE ProLiant Xeon CPU, to fulfill the Sensei requirements.

However, it's working great. But I miss a feature: If something is blocked, it's just not loading, right? But the user is not aware, if it's a not working webpage (or parts on it) or if it's blocked. It would be great, if Sensei delivers some kind of block page, something like "This page has been blocked - block category is xxx. Please contact abc@def.de for further information".

Did I miss something in the settings or this feature currently missing?

Keep on the good work!
Cheers
Marco

Oh man, da stand ich aber mächtig aufm Schlauch. Danke für den Schubser.
Ich hatte das in den LAN Rules auch schon probiert, mein Fehler war aber, dass die Block Rule ganz an Emde stand. Stelle ich sie nach vorne, funktioniert es auch.

Danke und Gruß
Krümel

Moin,

ich steh gerade etwas auf dem Schlauch:
Hier läuft eine OPNSense unter VMWare, die aber komplett im privaten Netz hängt:

WAN: 192.168.0.0/24
LAN: WAN: 192.168.1.0/24

Und noch diverse WLAN Netze...
Im WAN Netz hängt dann der Speedport Hybrid. Das WANGW (Default) zeigt auf den Hybrid Router. An allen Clients ist die OPNSense (192.168.1.1) als Gateway eingetragen. Outbound NAT steht "Automatic".

Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen. Dafür habe ich im WAN eine Testregel gebaut:

Deny ALL TCPv4/ICMP DST any SRC any

Somit dürfte kein Client in der Lage sein, ins Internet zu pingen. So dachte ich zumindest. Aber es funktioniert trotzdem. Im Log sehe ich:

destination:172.217.22.35 message:<134>Feb 27 15:54:25 filterlog: 78,,,0,vmx0,match,pass,out,4,0x0,,63,16734,0,none,1,icmp,84,192.168.0.1,172.217.22.35,datalength=64 aid:16,734 syslog_program:filterlog input_interface:vmx0 myoffset:0 flags:none host:192.168.1.1 source:192.168.0.1 ip_version:4 syslog_timestamp:Feb 27 15:54:25 syslog_pri:134 tos:0 action:pass

Wo liegt mein Fehler?

Gruß
Krümel

Hi,

I want to migrate my OPNSense installation running on APU2C4 hardware to VMWare vSphere 6.5 U2 for performance reasons.

So I exported my configuration on production side and deployed a fresh installation of OPNSense on a vSphere VM. I created all interfaces with same names as on my hardware installation, then imported my production configuration. After rebooting, I re-assigned the physical interfaces to new virtual ones and thought I was ready to go. The VM booted and I get to the point where all interfaces are listed with IP addresses. But then the system freezes. I don't get any menue and can't ssh into the machine.

My guess is: I haven't installed any plugins yet, such as ACME, freeRadius, haproxy... things like that. Can this root cause this behaviour? Are there any best practices to get a physical OPNSense installation migrated to virtual?

Thanks and best regards
Kruemel

Moin,

folgende Situation:
Speedport Hybrid (192.168.0.1) => OPNSense DMZ (192.168.0.2) => OPNSense LAN (192.168.1.1)

Nun habe ich meine Telefonanlage in der DMZ stehen, also im 192.168.0.0/24 Netz. Solange da nur DECT Telefone unterwegs sind, klappt das auch prima. Doch wenn ich nun einen SIP Client benutze, dann kann der sich auch aus dem LAN in die DMZ verbinden (von LAN in die DMZ ist alles erlaubt) und auch einen Anruf auslösen, aber auf dem SIP Telefon im LAN kann ich nix hören.

Ist ja auch irgendwie logisch, denn die Defaultroute in der DMZ ist die 192.168.0.1.
Wie kriege ich es nun hin, dass der Traffic aus der DMZ auch wieder ins LAN findet? Klar, ich muss ne Route einrichten, aber dann muss ich doch der TK Anlage ein anderes Gateway mitteilen, oder?

Wie muss ich da vorgehen?

Danke und VG
Krümel

Um mal kurz mein Setup darzustellen, weil ich auch die Ubiquiti UAPs benutze:

eth0 => LAN
eth1 => WAN
eth2 => VLAN Trunk mit VLANs für WLAN intern, WLAN für IoT Geräte und Gäste WLAN

Jedes VLAN ist ein eigenes Netz, das Routing übernimmt die Sense. Das schöne dabei ist, dass ich nicht die Ubiquiti UAPs für das "Gäste WLAN" benutzen muss, sondern der Traffic getaggt zur Sense geschickt wird, die auch dann das Firewalling macht. Vom LAN in die jeweiligen VLANs ist alles frei, d.h. ich erreiche z.B. den Sat Receiver der im IoT Netz steht ohne Probleme aus dem LAN, aber andersherum kommt der Receiver nicht in mein LAN - so erhöhe ich meine  Sicherheit etwas.

VG
Krümel

Hab doch nochmal ne Frage:

Wie verhält es sich bei folgenden zwei Regeln:

1. Erlaube Port 1234/TCP für alles !RFC1918 (=> Internet außer private IPs)
2. Erlaube Port 1234/TCP für IP 192.168.1.2

Regel 2 wird ja eigentlich durch Regel 1 verboten?!?

Du würdest mir helfen, wenn Du Deine Config inkl. GeoIP mal posten würdest....

Das Geoip filter plugin ist installiert, aber danach habe ich alles im Default gelassen.
Sind denn ansonsten noch Anpassungen notwendig?

Danke für deinen Support!  :)

Sorry, aber das versteh ich nicht. Bin noch ziemlich unerfahren, was ELK angeht...
Wo und wie genau wird denn "geoip.ip" erzeugt? Wenn ich darauf auf "exists" filtere, bekomme ich auch keine Treffer. Das Feld scheint bei mir zwar zu existieren, aber wird nicht befüllt.

Bisher habe ich die Index Patterns logstash.* und logstash.**

Jau - also irgendiwie will er auf der Karte aber nix anzeigen. Ich habe folgende Einstellungen gesetzt (siehe Attachment).
Ich vermute mal ein Layer 8 Problem....

Kannst Du mir sagen, was ich falsch mache?

Super, vielen Dank - funktioniert.
Auf die Idee wär ich selber wohl nie gekommen....

VG
Krümel

Moin,

meine OPNSense steht hinter einem Telekom Speedport Hybrid Router und hat als WAN Adresse die 192.168.0.2. Das LAN ist 192.168.1.0/24, daneben gibt es mehrere Netze für WLAN, Gäste WLAN und IoT Netz.

Wenn ich nun z.B. aus dem Gäste oder IoT Netz Zugang für Port 80 und 443 fürs Internet aufmache, muss ich bei Destination "any" angehen, denn das WAN Interface ist für die opnsense in meinem Fall ja nicht "das Internet".

Somit stehen aber auch interne Dienste den potenziellen Angreifern in diesem Netz, z.B. der Reverse Proxy der opnsense oder auch andere HTTP Dienste im LAN.

Wie kann ich also Zugriff ins Internet gewähren, ohne gleichzeitig meine anderen Netze zu öffnen?

Danke und VG
Krümel