Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - tomekk228

#1
General Discussion / Deletion of my Account
May 12, 2019, 08:21:06 PM
Hello!

Please delete my Account with all my Posts and other Data that belongs to me (DSGVO).

Please write my a Email if it is done.

Thank you.
#2
So habe den Fehler gefunden... *facepalm*

Was mir wiederum nicht gefällt und ehrlich gesagt auch nicht verstehe.

Es liegt am NordVPN.

Ist mir per Zufall aufgefallen. Ich habe nämlich auf allen Geräten Windows 10 am laufen und als Interface Steuerung für die Windows Firewall "Windows Firewall Control" von binisoft. Und gestern ist mir aufgefallen sobald ich mich mit nem VPN Server verbinde, die Firewall offen ist wie ein Scheunentor.

Einerseits ja genau der Sinn eines VPN's, andererseits muss dies ja verhindbar sein?
#3
Quote from: monstermania on December 03, 2018, 08:16:22 AM
Moin,
standardmäßig ist nach der Installation der OPNsense auf dem LAN Interface die ANY-Regel ausgehend aktiv. D.H. ausgehend ist erst mal Alles erlaubt. Wie bei jedem 08/15 (Baumarkt)Router!
Ist aber auch bei anderen (kommerziellen) FW-Systemen so. Ist ja auch durchaus sinnvoll um erstmal zu sehen, ob Internet funktioniert,
Der erste Schritt vor dem Produktiveinsatz sollte i.d.R. die Deaktivierung der Any-Regel beinhalten.

Gruß
Dirk

Ja eben. Raus alles erlaubt. Rein nichts. So kenne ich das auch.

Trotzdem frage ich mich wieso der Upload funktioniert. Werde ich wohl mit Wireshark beobachten müssen.
#4
Guten Morgen,

wie der Titel oben sagt, frag ich mich was bei OPNsense direkt nach der Installation ohne ein Finger zu krümmen Standard ist?

Alle Ports nach draußen auf allen Interface zu? Oder offen?

Nach meinem Verständnis ist es das erstere. Einmal weil es anders kein Sinn macht weil es selbst Konsumerrouter so machen, und zweitens weil ich so die Standardregeln verstehe.

Trotzdem frage ich mich dann wieso Filesharing mit Torrent z.B funktioniert. Obwohl die zufällig gewählten Ports zu sind.

(Und bei mir sogar 3 mal abgesichert ist, gezwungenermaßen. Da mein Internetprovider nur IPv6 liefert und mein Netz aber nur IPv4 bekommt).
#5
Hallo,

weiß wirklich keiner wie das bzw ob das geht? 

#6
Ok,

da dies anscheinend ein nicht zu lösendes Thema ist, gibt es noch andere Anlaufstellen an denen ich mich mit meinen Problem wenden kann (meinetwegen auch gegen Geld) ?.
#7
Ok.

Kann mir trotzdem geholfen werden wie ich mein Problem gelöst bzw "Projekt" realisiert werden kann?

Mir ist ehrlich gesagt völlig egal wie.

Das Ziel soll einfach sein das ich mein Zuhause mit der IPv6 Adresse aufrufen kann. Da diese sich nicht ändert bzw nur diese zu Verfügung steht dank Dualstack Lite.

Und dahinter halt z.B ein OpenVPN Server. Oder ein Nextcloud Server oder what ever betreiben kann. Und dafür brauchen die laut Deutsche Glasfaser eine IPv6 Adresse.

Hab aber auch was von Tunneling gelesen usw. Und das Opnsense auch IPv6-IPv4 tunneling kann. Meinetwegen können die Clients IPv4 behalten.

Das Kriterium ist nur das ich ein Weg ohne zusätzliche Anbieter wie feste-ip usw nutzen kann. Da ich meine volle 1Gbit nutzen möchte.
#8
Aha?

Habe ich jetzt nicht verstanden  :D

Mal ne Frage aus Interesse: Beim Wizard schlägt er ja "Track Interface WAN" als Standard vor für IPv6 für die Clients am LAN.

Das müsste doch eigentlich out-of-the-box funktionieren oder nicht? Weil nicht destotrotz bekommen die Clients keine IPv6 Adressen sondern vergeben sich selber eine die dann natürlich nicht funktioniert...
#9
Scheint leider keiner helfen zu können?

Gibt es kostenpflichtigen Support abgesehen von den Abomodellen?
#10
German - Deutsch / Re: OPNsense + PI-Hole + IPv6
June 28, 2018, 10:22:52 PM
Ich habe fast genau das selbe Problem (auch in Kombo mit einer Pi-hole).

Siehe https://forum.opnsense.org/index.php?topic=9000.0

Daher möchte ich gerne einfach es wie bei IPv4 getrennt haben... WAN kann wechseln wie möchte, und LAN soll halt wie bei IPv4 aus einem Pool IPv6 adressen verteilen.

Aber es ist noch in arbeit..
#11
Einstelllungen sind keine vorgenommen worden. Ist noch jungfräulich. Bis auf die IPv4 dhcp range.

Im Anhang zwei Screenshots. Einmal vom Genexis Router (ja, mehr infos und Einstellungsmöglichkeit gibt es wirklich nicht...).

Und einmal ein Screenshot vom Überblick der WAN Schnittstelle.

#12
Quote from: BeNe on June 26, 2018, 10:45:17 AM
Naja IPv4 ist eben NICHT IPv6. Genau gleich wird es nicht gehen, aber ähnlich.
Du Arbeitest dann mit einem anderen Prefix. Wie groß ist denn dein IPv6 Netz, ein /56 ?
Wie hast Du die OPNSense denn genau für IPv6 eingestellt ?

Mein IPv6 jetzt? Garnicht groß. Weil kein IPv6 Netz habe da es nicht funktionierte.

Meinst du ggf das von dem Genexis Router zu seinen Lanports woran OPNsense hängt? Keine Ahnung. Im Genexis Router kann man es leider nicht sehen bzw wüsste ich nicht woran. Das Ding ist extrem sporadisch...  Wenn ich zu Hause bin schau ich mal nach.

Wie ich die OPNsense für IPv6 eingerichtet habe? LAN IPv6 track interface WAN. Das wars schon. Was aber leider nicht funktionierte. Und dann gegoogelt und aus vielen Forumeinträgen versucht was zusammen zu schustern. Aber nichts hat geholfen und kann ich auch leider nicht mehr nachvollziehen.

Meine OPNsense ist wieder komplett jungfräulich also frisch installiert und bereit für neue Versuche...
#13
Guten Morgen!

Ich habe mich vergangenen Wochenende mit IPv6 beschäftigt.

Aktuell sieht es wie folgt aus:

Das Internet - Medienkonverter - Genexis Router - OPNsense - Clients (ein Client ist eine Pi-Hole (DNS Blocking))

Das will ich auch so beibehalten. Da IPv6 nicht richtig funktioniert(e) habe ich die IPv6 Konnektivität komplett augeschaltet bei OPNsense.

Zusätzlich ist der DHCP Server für IPv4 ausgeschaltet. Dies übernahm die Pi-Hole da dieser gleichzeitig seine eigene IP als DNS Resolver angibt. Und weil im Adminpanel dann auch die jeweiligen Hostnamen der Clients steht (für welchen Client wurde was geblockt). Ich könnte zwar auch DHCPv4 OPNsense machen lassen, dann taucht aber im Adminpanel von Pi-Hole nur OPNsense als Host auf.

Soviel zu aktueller Situation.

Jetzt möchte ich folgendes:

das beibehalten: Das Internet - Medienkonverter - Genexis Router - OPNsense - Clients

Jedoch IPv6 beibehalten. Die OPNsense bekommt bei aktivierten IPv6 Stack eine IPv6 automatisch vom Genexis Router.

Und OPNsense soll den Clients ebenfalls IPv6 Adressen vergeben. Und hier scheitert es.

Soweit wie ich es bis jetzt verstanden habe, "zeichnet OPNsense die WAN Schnittstelle auf" und leitet einfach die IPv6 vergabe an den Genexis Router weiter. So das der Genexis Router den Clients die IPv6 Adressen vergibt.

Das funktioniert jedoch nicht, da ja OPNsense in ganz anderem Subnetz arbeitet (im IPv4 zumindest).  Aber das möchte ich auch nicht.

Das ganze Problem hätte ich nicht, würde ich die Deutsche Glasfaser anrufen und sagen die sollen mein Anschluss im "Bridge Mode" umstellen. Dann könnte ich OPNsense direkt an den Mediakonverter klemmen. Das möchte ich jedoch nicht (weil dann auch Telefonie wegfällt, weil kein VOIP). 

Ich möchte es eigentlich genau wie bei IPv4 haben. Am WAN erhält er per DHCP vom Genexis Router seine IPV4 Adresse 192.168.1.15 zb, und vergibt an der LAN Schnittstelle 192.168.5.100-200 als Bleistift.  Mit 192.168.5.2 als DNS und 192.168.5.1 als Gateway.

Und genau das selbe wie bei IPv4 will ich auch für IPv6.

Aber das bekomme ich einfach nicht hin  :(

#14
@JeGR

Wir leben in einem freien Land. Du hast deine Meinung. Akzeptiere ich. Ob es falsch ist oder nicht. Bin ich nicht in die Lage zu entscheiden.

Aber was ich kann, ist mich fortbilden. Und da es Unternehmen wie Intel existieren, Universitäten die Publikationen durchführen und "Freaks" die eine Spürnase haben (Bugs, Lücken, etc). Kann ich mich darauf berufen.

Und da wird nach gesunden Menschenverstand danach sortiert wie was vertrauenswürdig ist.

Und da bleibe ich bei (und glaube ich) der Aussage von Intel wofür der AES-NI Befehlsatz da ist: Verschlüsselung und Entschlüsselung per AES zu beschleunigen.

Und nicht das System durch einer magischen Feng-Shui Wand zu schützen. Das AES angreifbar ist, weißt man wahrscheinlich schon seit der Geburt von AES. Und wie mit allem im Leben ist es eine Katz und Maus jagd. Das sind auch viele tausende andere Ver/Entschlüsselungsverfahren.

Aus genau diesem Grund sprießen jedes Jahr auch neue und dafür verschwinden andere. AES hat nur das Glück noch dabei und relativ weit verbreitet zu sein. 

Und wenn man nun Wert darauf legt seine Daten sicher zu verschlüsseln, nutzt man lieber direkt andere Verfahren....

Kommen wir aber zurück zum Thema. Ja AES-NI beschleunigt NICHT NUR (wie du sagst) das Ver- und Entschlüsseln beliebiger Datastreams (openssl, Wlan, etc pp). Sondern schützt auch genau diesen Verkehr so gut wie nur möglich davor das ein Kobold mal eben dazwischen greift und den Schlüssel/Daten/etc klaut. (Alles Informationen von deinem Link der Publikation und Intel Whitepaper: https://www.intel.de/content/www/de/de/enterprise-security/enterprise-security-aes-ni-white-paper.html)

Aber (und hier sind wir am Ausgangspunkt) AES-Ni schützt mich nicht davor das irgendein Skriptkiddy ins Netzwerk eindringt. AES-Ni schützt mich nicht davor das meine nicht verschlüsselten Daten aus dem RAM geklaut werden. AES-Ni schützt mich nicht davor das generell Daten geklaut werden. AES-Ni schützt mich nicht davor das irgendeine beliebige Anwendung errät was in anderen RAM-Bereichen für lustige Datenbits liegen (siehe Spectre/Meltdown). Und AES-Ni tut noch so vieles nichts. Sondern nur das wofür sein Name auch steht: Sich um AES kümmern.

Und weißt du was der beste Schutz dagegen ist wovor von dir verlinkte Publikation "Cache-timing Attacks on AES" warnt?

Das zutun was ich paar Post schon sagte: AES einfach nicht nutzen! OpenVPN wird nicht genutzt. SSH wird nicht genutzt. TLS wird nicht genutzt usw usf...

Also Fazit: Ich brauche kein AES(-ni). Werde es auch nie brauchen. Und die Hardware ist genau passend für mich.

Aber um dein Seelenfrieden zu gewährleisten:

An alle anderen Mitleser. Ja JeGr hat tatsächlich ein wenig recht. Solltet Ihr OpenVPN unbedingt nutzen wollen. Solltet ihr SSH brauchen und alles andere was großteils auf AES basiert bzw nutzt: Schaut nach Möglichkeit nach Hardware mit AES-Ni unterstützung.

Ist es zwingend notwendig? Ist es das All-heil-mittel? Meiner Meinung nach: Nein. In OpenSSL stecken wahrscheinlich noch viele andere lustige kleine Löcher die gefühlt tausendmal einfacher und praktikabler auszunutzen sind.

Jeder muss schlussendlich eigene Entscheidungen treffen und abwägen was notwendig ist oder nicht. Wie wahrscheinlich es ist das man durch eine Lücke XYZ angreifbar ist oder nicht. Und wie wahrscheinlich es ist das es schlussendlich auch jemand tut.

Also in meinem persönlichen Fall habe ich z.B mehr Angst davor das jemand mir die hart erarbeitete Karre klaut, als mich Otto-normal-verbraucher mit einer CPU-Architektur bedingte Lücke anzugreifen um Daten abzugreifen die mit AES verschlüsselt sein könnten (und sollte dadurch freier Zugriff auf jegliche Daten möglich sein: Auf Daten in meinem Netzwerk die aus 99% nur aus Bilder von mir im Urlaub bestehen in den aller lustigsten Posen. PS: Mädels! Ich reise gerne! Bin auch Single! Da ich mich leider ein großteil meiner Zeit im bösen Internet aufhalte um mich rechtzufertigen oder auf der Arbeit. Also meldet euch ruhig!  ;D)

JeGr: Sei mir nicht böse ok?  ;) Aber Hintergrundwissen ist Jobbedingt schon da. Es wird halt nur nicht alles so heiß gegessen, wie es gekocht wird.

Ich würde gerne eigentlich mal zum Topic wieder kommen. Aber das wird hier wohl nicht mehr stattfinden  ;D

Die anderen Baustellen brennen aber auch nicht so. Sollte es soweit sein das ich mich darum kümmern möchte, melde ich mich schon.

Trotzdem nochmal danke für eure Zeit und der paar Tipps.
#15
Ja dann hast du ein Grund nach Deutschland zu kommen. Weil hier kostet die kwh ja 0,0475€!

Nein Scherz beiseite.

Ich schrieb ja in einem Post in diesem Thread das der sowieso nur 4-5 Stunden am Tag läuft.