Messages

And where is OPNsense located? Just between WAN and your L3 Switch? If routing is done on your switch, packets between vlans don't have to pass OPNsense any more. So there is no firewall between your vlans.

This pretty cool feature has unfortunately be removed, because too many users used low end hardware and the sync caused hanging their web ui. I think a downgrade to 19.7 could fix it. Old versions did autosync on save

Delete the default gateway from your ip cam and it won't phone home and access internet  ;)

Warum gibst du nicht einfach direkt https://opnsense.dummy.tld statt der IP ein? Weil wenn Du keinen DNS Server hast, der das auf die IP auflöst, bringt dir eine Umleitung auch nichts. Da kriegst du dann halt nach der Umleitung ein "Host not found".

Die GeoLite2 Datenbanken kosten auch weiterhin nichts. Du brauchst jetzt halt einen Lizenz Key zum Download.

Starting December 30, 2019, we will be requiring users of our GeoLite2 databases to register for a MaxMind account and obtain a license key in order to download GeoLite2 databases. We will continue to offer the GeoLite2 databases without charge, and with the ability to redistribute with proper attribution and in compliance with privacy regulations.

https://blog.maxmind.com/2019/12/18/significant-changes-to-accessing-and-using-geolite2-databases/

Es ist doch kein aktiv-aktiv Cluster. Du hättest nur dann ein Problem, wenn just in dem Moment, wo deine primäre Firewall ausfällt, auch dein pfSync ausfällt. Dann hätte die nun aktive Backup-Firewall keine aktuellen States und die bestehenden TCP-Verbindungen würden geblockt werden
Solange deine primäre FW läuft, kannste ohne Probleme auch mal einen der Switche mit pfSync-VLAN booten, etc. Sollten dann nur keine VLANs wegfallen worüber auch CARP läuft, weil dann kriegst Du Failover oder Split-Brain. Wobei das dann mit pfSync eigentlich auch kein Problem sein sollte, da ja bis zum Zeitpunkt des Split-Brains die States gesynced waren und danach dann die Clients über den für sie aktiven CARP Master laufen und dort dann die States generieren, die ab da dann nicht mehr synchronisiert werden. Würde dann erst beim Fallback Probleme geben.

Und Du bekommst 20G Bandbreite im Lagg? Wow. Ich such noch meinen Flaschenhals. Wäre schon mit 10G zufrieden.

Nothing to be worried about. Everybody has this button for security audit - even developers. The know about it.

@franco: feature request: add hint not to post security audits to forum and explain its use case

https://docs.opnsense.org/development/backend/legacy.html

List services

Code Select Expand

pluginctl -s

I guess it's something like dhcp, maybe dhcpd

Code Select Expand

pluginctl -s dhcpd restart

There can be just one entry per option. If defining an option (here: 43) multiple times, the last definition overrides the previous ones.

Solution 1:
Just use GPO to disable netbios and use option 43 for your APC

Solution 2:
Create a separate lease pool for your APC devices (mac address match of vendor part) and use APC option 43 and for the default pool (not matching APC vendor mac) assign netbios option.

I did not mention gateway groups. Just multiple gateways with different priorities. But gateway group should work, too.

Dann müsste man mmproxy dazwischen schalten als PROXY Gateway... funktioniert halt nur, wenn der SSHd über Linux läuft.

https://serverfault.com/questions/620703/sshd-real-ip-behind-haproxy

https://blog.cloudflare.com/mmproxy-creative-way-of-preserving-client-ips-in-spectrum/

Ob das technisch überhaupt möglich ist? Bei HTTP Reverse-Proxy wird die reale IP als zusätzliche Header-Anweisung übertragen (X-Forwarded-for, X-Client-IP) und kann dann am Webserver ausgewertet werden und das auch nur, wenn SSL-Offloading durchgeführt wird und haproxy den Header somit einfügen kann.
SSH dürfte so einen Mechanismus nicht haben, um die reale IP mitzugeben. Oder funktioniert es mit nginx als RevProxy und Du willst ihn durch haproxy ersetzen? Wie hast Du es dann mit nginx gelöst?

Aber opnSense unterstützt doch rate-limits in Regeln. Kannste doch dort blocken. Nach jedem falschen Login wird Verbindung  von SSHd beendet. Dann kannste z.B. konfigurieren max. 3 Verbindungen von IP pro 10min oder was halt Sinn gibt.

Weil ich gerade die sshlockout rule sehe. Hast Du SSH und WebGUI überhaupt an dein Management Interface gebunden?
Muss ja, braucht ja nur ab, wird also aufgebaut.

Also spontan kann ich schon mal sagen, das Regel 1 überflüssig ist,  denn Management Adress liegt ja in Management net.

Was im Log seltsam ist, ist das "let anything out from firewall", da die Source IP (.100) doch gar nicht deine Firewall (.11) ist

this firewall are all addresses assigned to your firewall. You can check them in firewall/diagnostics/pfTables. There should be two autogenerated aliases: one for IPv4 and one for IPv4.

As long as your IoT network does not need any services running in your firewall (DNS, NTP, proxy), there should not be any problems when blocking.
But best is to work with whitelisting instead blacklisting. Just allow what you need, everything else gets blocked by default rule.