Messages

Und du hast die "allow all" Regel auf LAN auch noch? Dann müssen alle Geräte an igb0/2/3/4/5 miteinander reden können.

Jau, das wars! Habe die LAN Regeln noch mal überprüft und die "allow all" Regel hatte ich durch eigene ersetzt und da fehlte dann die Logik, dass die Schnittstellen dann alle untereinander kommunizieren können. Wenn ich das irgendwann wieder individuell anpassen will, muss ich mir mehr Gedanken dazu machen..

Damit wäre diese Sache dann gelöst. Vielen Dank!

Und du hast unter Interfaces > Assignments dem LAN die Bridge zugewiesen? Und nach dem setzen der Tunables rebootet?

Ja und Ja

Wenn alles ja, poste doch mal die Ausgabe von "ifconfig"

hier die Ausgabe von ifconfig (ich gehe mal davon aus, dass die MAC Adressen nicht benötigt werden..):

Code Select Expand

igb0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT1 (opt1)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f0
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb1: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: WAN (wan)
        options=4900028<VLAN_MTU,JUMBO_MTU,NETMAP,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f1
        inet 192.168.2.xxx netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb2: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT2 (opt2)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f2
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT3 (opt3)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f3
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb4: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT4 (opt4)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f4
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb5: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT5 (opt5)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f5
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb6: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f6
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb7: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f7
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=1008049<UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 16384
        options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 xxxx::xxxxx prefixlen 64 scopeid 0x9
        groups: lo
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
enc0: flags=0 metric 0 mtu 1536
        options=0
        groups: enc
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pflog0: flags=20100<PROMISC,PPROMISC> metric 0 mtu 33152
        options=0
        groups: pflog
pfsync0: flags=0 metric 0 mtu 1500
        options=0
maxupd: 128 defer: off version: 1400
        syncok: 1
        groups: pfsync
bridge0: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: LAN (lan)
        options=0
        ether xx:xx:xx:xx:xx:xx
        inet 192.168.3.254 netmask 0xffffff00 broadcast 192.168.3.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: igb5 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 6 priority 128 path cost 2000000
        member: igb4 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 200000
        member: igb3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 2000000
        member: igb2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 20000
        member: igb0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 2000000
        groups: bridge
        nd6 options=9<PERFORMNUD,IFDISABLED>

Du musst nur die Anleitung befolgen, speziell die beiden Tunables in Schritt 6 setzen:

Schrieb ich ja schon, dass ich das nach dieser Anleitung genau befolgt habe und es geht trotzdem nicht.

Ähnlich wie in diesem Thread (https://forum.opnsense.org/index.php?topic=33621.0), habe ich eine Bridge für ein LAN erstellt, um mir ein zusätzliches Switch für dieses LAN zu sparen. In der Bridge habe ich die weiteren freien physikalischen Ethernet Ports der Firewall zusammengefasst, damit ich z.B. einen Drucker über die Bridge von einem Client PC aus nutzen kann.

Die Bridge habe ich nach der Anleitung von OpenSense erstellt. Leider kann ich den Drucker nicht anpingen!

Bedauerlicherweise ist der Tipp aus dem Thread auch offensichtlich fehlerhaft, dass die Option "enable link-local address" in den Einstellungen der Bridge gesetzt werden muss. Nachdem ich das gelesen und eingestellt habe, war ich von der OpenSense ausgesperrt und ich musste eins der vorigen Backups einspielen, um wieder auf die OpenSense zu kommen.

Ansonsten funktioniert die Bridge auf allen Ports der Firewall, wenn ich z.B. mit dem Client PC alle Ports der Firewall nach und nach umstecke und durchprobiere. Offensichtlich kennen sich die Ports nicht untereinander.

Oder muss ich dazu erstmal eine Regel erstellen?
Wenn ja, dann wäre die Aussage (aus dem Netz...) das sich so eine Bridge wie ein Switch verhält ja nicht richtig.

Nach der Anleitung bin ich das Ganze auch noch mal durchgegangen, habe ein zweites Zertifikat angelegt und die Fehlermeldung bezüglich des Zertifikats war erstmal weg.

Trotzdem funktioniert der Proxy nicht richtig und der Download dieses Testfiles erzeugt keine Fehlermeldung der OpenSense.

Zusätzlich habe ich nun das Problem, wenn ich das erste Zertifikat löschen will, eine Fehlermeldung mit "Item in use" "webgui - [system.webgui]" erscheint. Dieses Zertifikat ist unter "Zertifikate" und als benutzt angehakt. Aber ich kann es nicht löschen, da es ja Benutzung ist. Scheint wohl unerforschtes Neuland zu sein, wenn man in OpenSense schon ein Zertifikat eingefügt hat, ein weiteres hinzufügt, das erste löschen will und das zweite dann nutzen will...

Nachtrag: ne jetzt eine Fehlermeldung bezüglich des Zertifikats auch wieder da:

"net::ERR_CERT_AUTHORITY_INVALID"

Nachtrag: offensichtlich wechselt der Browser Chrome zwischen den Zuständen, dass der Fehler angezeigt wird, oder nicht?! Da ich das erste Zertifikat unter Windows und im Browser entfernt habe..aber ich kann der OpenSense nicht beibringen, wie das zweite erstellte Zertifikat genutzt werden soll...bzw. ich gebe es im WebProxy an, aber es wird noch immer das erste Zertifikat genutzt, welches ich schon längst gelöscht habe?!

Anleitungen dazu sind offensichtlich wenig vorhanden.

Ich finde es auch merkwürdig, wenn ich das erste Zertifikat in Windows und im Browser entfernt habe, dass dann die OpenSense es trotzdem weiterbenutzt bzw. mir mit der Fehlermeldung gesagt wird, es sei in "use"

Hallo,

anhand der Anleitung von https://www.youtube.com/watch?v=vOspom77N2w
habe ich den Webproxy mit clamAV eingerichtet und die entsprechenden Regeln erstellt.

Nun habe ich auf

https://github.com/fire1ce/eicar-standard-antivirus-test-files/blob/master/eicar-zip.zip

das eicar-zip.zip Testfile heruntergeladen und ich bekomme keine Warnung (wie in dem Video gezeigt) bzw. der Download der Datei wird nicht verhindert.

Außerdem ist seit Einrichtung des Webproxys die Sache mit einem selbstsignirtem Zertigfikat fehlerhaft.
Dazu bekomme ich folgende Meldung:

Habs gelöst.

Ich musste die WAN Schnittstelle auf DHCP stellen damit es funktioniert. Sonst war kein Gateway bei der WAN Schnittstelle eingetragen (unter "Schnittstellen", "Überblick"). Wie man dort manuell ein Gateway hinterlegt weiß ich nicht.

Zustätzlich musste ich den Workaround aus

https://forum.opnsense.org/index.php?topic=27244.0

auch machen (ich hatte diese Regel temporär vorerst wieder deaktiviert).

Da interpretierst du etwas falsch.

OK

Also ich habe es auch schon nach folgender Anleitung probiert und das hat auch nicht funktioniert:

https://forum.opnsense.org/index.php?topic=27244.0

Also wenn ich unter "Schnittstellen", "Diagnose", "Netstat" schaue, dann ist klar zu sehen, dass auf der WAN Schnittstelle bezüglich der IPv4 Geschichte keine Daten gesendet oder empfangen wurden:

Code Select Expand


[wan] (igb1) / 192.168.2.252
name: igb1
flags: 0x8863
network: 192.168.2.0/24
address: 192.168.2.252
received-packets: 0
received-bytes: 0
sent-packets: 0
sent-bytes: 0

Fangen wir doch mal damit an, dass du uns einen Skizze machst, wie dein Netzwerk aufgebaut ist. Mit allen IP-Adressen, bitte.

Hier:

Hallo,

ich möchte meine neue OpenSense einrichten und habe dabei ein paar Schwierigkeiten..
Die Sache ist, die OpenSense wird hinter einem Router als Firewall für mein privates LAN eingesetzt und aktuell
funktioniert die Verbindung zwar, ist aber sehr zeit zeitverzögert.

Mir war bis heute nicht bekannt, dass die OpenSense mittlerweile nur noch ein v6 Gateway hat (habe die OpenSense schon länger nicht mehr genutzt..)
steht jedenfalls hier: https://www.computerbase.de/forum/threads/ipv4-client-an-ipv6-gateway-opnsense.2012005/

Also ich hatte eigentlich ursprünglich geplant, dass ich nur ein IPv4 Netz konfiguriere, da ich mich bezüglich IPv6 nicht fit genug fühle. Dann hatte ich IPv6 ausgeschaltet und ich hatte gar keine Verbindung mehr.
Dann habe ich das oben genannte gelesen und IPv6 wieder aktiviert und dann ging es wieder, wie am Anfang, wo noch die Standardeinstellungen gesetzt waren.

Nun ist die Verbindung aber sehr verzögert (man muss mehrere Sekunden warten bis eine Seite geöffnet ist) und möchte wiesen, woran das liegen kann? Also am Router, der vor der OpenSense ist, liegt es nicht, da wenn ich meinen Client PC wieder auf das Netz des Routers konfiguriere alles einwandfrei funktioniert.

Und kann ich die OpenSense auch so konfigurieren, dass IPv6 gar nicht nötig ist? Ich brauche das in dem OpenSense LAN Netz eigentlich gar nicht und würde es eigentlich deaktivieren wollen...

Ein bisschen wenig Infos zu deinem Aufbau, so können wir nur raten, ein Grafischer netzwerkplan währe schön. Aus der geposteten ip denke ich das du irgendwie eine FRITZbox in deinem Netzwerk hast

schau mal hier (der hat es Prinzip genau wie ich gelöst, nur das die IPs nicht die selben sind. Die FritzBox ist im Netz 192.168.10.0/24, die WAN Schnittstelle der OpenSense per DHCP auch und das LAN ist aktuell noch 192.168.1.0/24):

https://administrator.de/forum/opnsense-proxy-einstellungen-windows-client-646653.html

Regeln habe ich momentan noch nicht viele: ich beschränke mich momentan auf die Ports für http, https und DNS, die auf der LAN Schnittstelle erstmal alles ausgehende für diese Ports durchlassen. Die Regeln will noch anpassen, aber erstmal will ich die Grundkonfiguration machen und dazu soll ein Proxy dienen, mit C-ICAP und Virenscanner als Dienste. Ansonsten habe ich noch das IDS aktiviert und die Regeln dazu aktualisiert.

Es macht auch keinen Unterschied für den Proxy, wenn ich alle meine erstellten Regeln deaktiviere und nur die Standard-Regeln arbeiten lasse.

Mir ist die Lokik von der OpenSense auch noch nicht ganz klar: wenn ich jetzt z.B. den ausgehenden Traffic für die Geräte auf der LAN Schnittstelle der OpenSense filtern will, wo müsste ich das am besten machen? Auf der LAN oder der WAN Schnittstelle der OpenSense oder kann ich mir eine aussuchen?

Die Reihenfolgen Geschichte ist mir auch nicht ganz klar: Wenn ich z.B. alles ausgende erstmal blocken will, wie müsste ich das am besten machen? Erstmal oben eine Regel die alles blockt (die oben hat ja eine höhere Priorität und dann nach und nach öffen, was ich nutzen will? So habe ich es getestet und hat nicht funktioniert.

Dann habe ich es umgekehrt gemacht und das hat funktionert, wobei ich mir nicht sicher bin, ob das so richtig ist und auch wirklich alles andere geblockt wird, was nicht den Ports entspricht, die ich durchlassen will, da es ja einige Standardregeln gibt...

Wenn es doch eine Regel gibt, die für IPv4 und IPv6 alles ausgende auf der LAN Schnittstelle durchwinkt, zeigt doch alles was darunter ist keine Wirkung, oder sehe ich das falsch?

Hallo,

ich wollte mir den Proxy für einen Virenscanner nach der folgenden Anleitung einrichten und mein Client PC wird damit ausgesperrt. Woran kann es liegen?

https://docs.opnsense.org/manual/how-tos/cachingproxy.html

Ich habe alles wie in der Anleitung beschrieben befolgt. Mir ist auch aufgefallen, das ich LAN IPs aus privaten Netzen bekomme (die mit diversen Regeln nach Protokoll-Filterung geblockt werden), die bei mir im LAN gar nicht existieren (z.B. aus dem Netz 192.168.178.0). Was kann das sein?

Die Fehlermeldung sagt, du hast keine IPv4-Adresse auf WAN und kannst deshalb keinen Gateway anlegen.

Ja ich hatte die IP für WAN mehrmals gesetzt, aber das lag daran, da ich vor der Konfiguration das Patchkabel für die WAN Schnittstelle gezogen hatte und die OpenSense offline konfiguriert hatte. Ich hatte nicht daran gedacht, das Kabel wieder einzustecken..

War in diesem Fall mein Fehler und ich bin davon ausgegangen, das die OpenSense in der Standardkonfiguration einen DNS-Server bereitstellt bzw. kann auch sein, dass ich DNS falsch konfiguriert hatte.
Jedenfalls bekomme ich keine Verbindung, wenn die die OpenSense als DNS eintrage.

Ich hatte schon länger keine OpenSense hier in meinem Netzwerke eingebunden und solche Fehler passieren einem dann wohl offensichtlich, wenn man mal "eben" wieder eine OpsenSense ins Netzwerk bringen will...

Trotzdem Danke.

Da passt doch irgendwas nicht..

Habs gelöst: ich habe die Konfiguration zurückgesetzt, das ganze über den Wizard gemacht und dann lag es noch an DNS. Ich hatte die OpenSense als DNS eingetragen auf dem Client PC und nachdem ich z.B. 1.1.1.1 als DNS eingetragen habe hatte ich eine Verbindung.

Wie sehen denn deine Firewall-Regeln für LAN

Soweit war ich noch gar nicht. Ich wollte erstmal testen, ob überhaupt eine Verbindung möglich ist.

deine NAT-Regeln für WAN

Ich wusste gar nicht, dass man NAT Regeln für das WAN setzen muss?! In älteren OpenSense Versionen war sowas erstmal nicht nötig, wenn die Standard Einstellungen z.B. erstmal über den Wizard gemacht werden, um
eine Internet Verbindung herzustellen.

Hat sich da was in den neueren Versionen geändert?

Wie sieht den so eine NAT Regel dann aus für die WAN Schnittstelle?

und deine DHCP-Server-Konfiguration für LAN aus?

für das LAN will/werde ich statische IP Adressen verwenden.

Außerdem: hast du die Fritzbox als Gateway angelegt und eine Default-Route eingetragen? Hast du DNS richtig konfiguriert?

Die letzten beiden Punkte passieren automatisch, wenn Du WAN einfach auf "DHCP" stellst. Aber du schriebst "statische Adressen" ... dann musst du DNS und Router auch manuell eintragen.

Die FritzBox konnte ich nur als Gateway anlegen, wenn ich IPv6 aktiviert habe. Da kam mit IPv4 diese Meldung (obwohl die WAN Schnittstelle konfiguriert ist):

The following input errors were detected:

    Cannot add IPv4 Gateway Address because no IPv4 address could be found on the interface.

Die letzten beiden Punkte passieren automatisch, wenn Du WAN einfach auf "DHCP" stellst. Aber du schriebst "statische Adressen" ... dann musst du DNS und Router auch manuell eintragen.

Ja stimmt, das hatte ich diesmal anders gemacht als sonst: sonst hatte ich die WAN Schnittstelle per DHCP konfiguriert und die beiden letzten Punkte hat dann der Wizard erledigt. Trotzdem bekomme ich nun keine Verbindung. Habe jetzt den Wizard darüber geschickt und es funktioniert immer noch nicht.

Sieht so aus, als ob sich einiges geändert hat in der Zeit, wo ich OpenSense nicht genutzt habe.
Ich finde die Konfigurations GUI der OpenSense teilweise ganz schön verwirrend und ich konnte die Fritzbox als Gateway nur hinzufügen, wenn ich IPv6 Configuration Type mit DHCPv6 aktiviert habe und die WAN Schnittstelle per DHCP konfiguriert habe. Dann wird automatisch ein Gateway auf IPv6 angelegt und ich kann dann ein Gateway mit IPv4 anlegen für die Fritzbox.

Also per DHCP bekommt die WAN Schnittstelle eine IP von der FritzBox.

Da passt doch irgendwas nicht..

ich bekomme auch Verbindungen wie (obwohl ich IPv6 deaktiviert habe):

WAN      2023-06-17T16:52:38   [fe80::a61f:72ff:fe8c:ed84]:546   [ff02::1:2]:547   udp   let out anything from firewall host itself   
   Loopback      2023-06-17T16:52:38   [fe80::a61f:72ff:fe8c:ed84]:546   [ff02::1:2]:547   udp   Pass all loopback IPv6

Wenn ich das Gateway manuell hinzufüge, bekomme ich folgende Meldung (obwohl eine WAN IP vergeben ist):

The following input errors were detected:

    Cannot add IPv4 Gateway Address because no IPv4 address could be found on the interface.