Messages

Hi,
mal so die Frage: Kann ich irgendwie in OPNsense die Angriffe bzw. Verbindungen, Apps etc. visualisieren? Ich wüsste gerne auf einem Blick was geblockt wird und was durch geht <- so allgemein gesprochen.
thx

Hi all,
i can buy a Stonesoft Firewall FW-315 and would like to install OPNSense, but i am not sure if this will work. Has anyone done this before or can tell me with his experience if this will work? The Datasheet is under http://stonesoft-security.co.uk/pdf/315.pdf

thx.

Hi,
ja sorry hatte ich noch nicht geschrieben. Ist alles auf 1000 und FD.

Ich habe jetzt direkt am Modem, hinter dem Modem und vor OPNs, als auch direkt im LAN und vom Client zum Hypervisor alles auf max. Speed erfolgreich getestet. Einzig was durch die OPNs läuft hat nur 10MBit. Habe es eben aus der Shell getestet, auch nur 10Mbit. Eben nochmal die Nics von E1000 auf virtio umgestellt, aber gleiches Ergebnis mit ca. 10Mbit.

Hi,

ich bin mir nicht sicher aber seit eine der letzten Updates erhalte ich nur 10Mbit auf der WAN Seite. Es müssten aber ca. 50Mbit sein. Ich habe testweise per LAN direkt am Modem angeschlossen und auch direkt vor der OPNs, was gut ist. Die Netzwerkkarten meines TinyPCs sind mit 1Gbits verbunden und auch im LAN kann ich mit mehr als 50Mbit verschieben.
Der Aufbau ist: WAN <-> Modem <-> OPNs <-> LAN. Die Sense läuft als KVM auf ProxmoxVE, wo ich auch keine Fehler sehen kann. Der Host ist auch mit 1Gbits angebunden. Installiert ist kein Webproxy oder Shaper, nur wenige Regeln bzgl. Weiterleitung von außen.

Noch eine Idee woran es liegen könnte?

Hi,
ich hatte nun etwas Zeit und eine Vermutung. Letztendlich lag es an der Option "ARP Table Static Entry". Ist diese aktiviert, kommt der Client selbst nicht nach "außen", kann aber von außen erreicht werden. Entweder verstehe ich ARP falsch oder es ist nen Bug. Wie auch immer, ich brauche es nicht zwingend und werde es daher nicht weiter nutzen / aktivieren. Dir Micneu vielen Dank für deine schnelle Hilfe und den Support.

Hi,
danke für deine Beispiele. Ich nutze ubound. Grundsätzlich ist meine Konfiguration mit deiner gleich. Jedoch müsste man DNS, Gateway, Domain name etc. alles nicht einragen, wenn diese gleich der Konfiguration der OPNSsense sind. So jedenfalls der Infotext dazu. Ich habe beides ausprobiert.

Interessant wäre jetzt die Konf für Dynamic DNS im DHCP Server. Ich habe diese Option aktiviert und die DNS domain sowie die IP der Sense für den primary DNS eignetragen.

In den static Mapping des Clients habe ich zztl. den Haken für ARP Table Static Entry gesetzt. Testweise auch fest die Werte der sense für DNS Gateway, Domain Name und Domain search list und den Haken für Dynamic DNS.

Die Konfiguration am Linux Client ist:

auto eth0
iface eth0 inet dhcp

IP wird vergeben, DNS im resolver korrekt eingetragen. SSH von anderen Clients auf diesen klappt, ebenso umgekehrt. Allein die Auflösung ins WAN klappt nicht.

Was mir nun aber auffiel. Ich habe in der Konfiguration des Systems unter General als DNS Server 127.0.0.1 stehen. Da die OPNsense ja den DNS Service liefert. Wenn jedoch nun diese IP an die statics geliefert wird, wäre es ja falsch, oder bin ich auf dem Holzweg? Am Client selber, Linux, steht auch korrekt die Sense als DNS, was meiner vorherigen Theorie wiedersprechen würde.

Hi,
ich habe OPNsense soweit am laufen. IP-Adressen werden per DHCP den meisten Clients vergeben. Einige Systeme benötigen eine statische Reservierung. Das klappt auch bei einigen Systemen aber bei anderen nicht. Die Konfiguration ist gleich. Woran kann es liegen? Sie erhalten die reservierte IP und ich kann mich auch aus dem Netz auch per SSH aufschalten. Allerdings gelangen diese nicht ins WAN / Internet.

Ich habe testweise auch die Felder, die vom System aus dem Default vergeben werden wie DNS, Gateway, Domain Name etc., von Hand eingetragen. Klappt aber auch nicht.

Idee?

Hi,
und danke für deine schnelle Antwort. Ich habe noch Fragen dazu, da mein Test nicht funktionierte.

Also mit dem Packet dyndns, kann ich einen Provider für DynDNS Dienste nutzen. Wollte ich ja nicht. Ich sehe, dass ich dort auch SelfHost oder Custom einstellen könnte, was sich nach einer eigenen Lösung anhört. Weiter komme ich so nicht.

Versucht hatte ich auf meinem Server ein Redirect auf IP-Heim: https://dyn-ip:1194 Was jedoch zu keinem connect führt. Das Problem dürfte sein, dass der VPN Client hinter der Domain die öffentliche IP des Servers sieht und den Redirect erst gar nicht durchführt.

Hi,
ich nutze die OPNsense zu hause und versuche grade OpenVPN einzurichten. Soweit klappt es mit Cert + User und PW auch. Da ich die IP dynamisch erhalte, müsste ich diese aktuell immer beim Client Export in den Hostnamen eintragen. Ich würde es aber eher mittels URL machen.

Die Idee: Ich möchte keinen externen Dienstleister für so etwas nutzen. Ich habe im I-Net einen Webserver mit fester IP und könnte dort eine Seite https://ssl.meine-dom.tld einrichten. Dort habe ich bereits ein Script, dass die externe dyn IP meines Heimnetzes registriert und authorisierten anzeigt. Das ist der Weg wie ich aktuell per Remoteverbindung drauf komme. Ich könnte dort ein Redirect auf die dyn. IP einrichten und so eine Umleitung auf mein Heimnetz durchführen (Idee). Leider kann ich in der OPNsense als Hostname keine URL eintragen.

Habt ihr eine Idee?
thx

Nabend zusammen,
das Problem ist, dass eine Nintendo Switch soweit ins Wan gelangen soll, als dass auch Spiele wie Splatton 2 funktoineren. Hier nutzt Nintendo wohl die P2P Technik mit UPnP. Ich habe wie hier im Forum auch zu lesen, NAT in der Firewall auf Hybrid outbound NAT umgestellt und eine neue Outbound Regel für das Gerät (IP Reservierung und Alias erstellt) angelegt. Laut Switch hat sich der NAT Typ von D auf B geändert, sodass eigentlich ein Onlinegaming mit anderen möglich sein sollte. Aber leider klappt es noch nicht. Meine Vermutung, dass das vorgeschaltete Kabelmodem meines Anbieters ggf. die Ports nicht weiterleitet. OPNsense ist WAN seitig so konfiguriert, dass mittels privater IP die Verbindung ins Internet ohne Probleme funktioniert. Am Modem habe ich UPnP Portweiterleitungen aktiviert.

Hat noch jemand eine Idee was ich konfigurieren könnte, bzw. woran es ggf. sonst liegen kann?

Hallo zusammen,
ist es möglich unter Reporting -> Traffic die geänderte und vom Default abweichende Ansicht zu speichern? Wenn ja, dann wie. Hintergrund ist, dass ich z.B. unter Display nicht die IP-Adresse per Default sehen möchte, sondern gleich die Hostnamen.

thx

Hi,
ja das erklärt das. Ich habe nun testweise mal die Standard FW-IP4-Lan-Regel kopiert und als Source die reservierte IP-Adr. verwendet. Doch ich kann keinen Host auflösen. Wenn ich den Host auf DHCP einstelle, dann ist alles ok. Ich versteh die OPNs nicht. Eigentlich sollte doch alles aus dem Lan auch ins WAN können, aber so gehts nicht. Irgendwas muss ich übersehen?

Hi,
mh ich bin heute irgendwie von der Logik irritiert. Also  die Firewall erlaubt den Traffic per se für das "Lan net", was ebenfalls per Default alle IP-Adressen im Lan entspricht. Dann kann ich im DHCP IP-Reservierungen einrichten, die außerhalb der DHCP-Range liegen müssen! Letzteres habe ich für die angesprochenen Clients gemacht. Daher müssten dann diese Clients, die eine IP aus dem "Lan net" haben, auch ins WAN kommen, also nicht von der Firewall geblockt werden, richtig?

Ich habe testweise mal auf "Lan Adresses" mit der any Einstellung umkonfiguriert. Nach ein paar Sekunden, kam ich dann gar nicht mehr ins WAN ... ?!
Ich bin irritiert, über die Logik

Hi,
sorry, hast Recht. Du schriebst ja dass die Firewall auf Grund des DHCP Eintrages "reagiert". Richtig, hat somit nichts mit dem DNS direkt zu tun.

Ich kenne die optimale Konfiguration noch so, dass man z.B. die Clients per DHCP Range konfiguriert z.B. .100-.200 und den Servern direkt die IP im System vergibt. Dadurch kann bei einem Fehler / Ausfall des DHCP der Server seine IP nicht verlieren, was wesentlich wichtiger ist als ein Client. Klar kann man auch verschiedene Ranges im DHCP vergeben, oder alle in einem Netz per DHCP versorgen und wichtige per Reservierung fest vergeben, aber das ist irgenwie noch so im Kopf. Mag sein dass es so nicht mehr aktuell ist bzw. korrekt, aber daher sprechen wir ja mal drüber .)

Hi,
mh das würde auch der Test mit einem Client bestätigen. Nachdem er die IP per DHCP bekommen hat, konnte er ins WAN. Was mich nur wundert, ich setze bisher PFsense ein und die Konfiguration ist gleich mit der in OPNsense, in PFS hat es so funktioniert, nur in OPNs nicht. Dazu kommt, dass ich bei der Reservierung die Option "Enable registration of DHCP client names in DNS" aktivieren kann. Nach meinem Verständnis sollte dann die Firewall nicht mehr blocken... ?!