Messages

Ich hab mir das inzwischen in PFSense angesehen,
da schaltet man einfach den Proxy ein und die FW generiert hidden Rules mit denn das sofort funktioniert.
In OpnSense habe ich es nicht hinbekommen aber da ich inzwischen doch andere Netze verwende und keine hidden FW brauche, hat sich das mit der Bridge erledigt. Damit ist die Frage zwar nicht geklärt aber für mich auch nicht mehr relevant. Wer eine funktionierende Lösung hat kann sie ja hier drunter pinnen.. gibt sicherlich noch andere die sich damit rumschlagen.

Ich scheine nicht der Einzige zu sein, der damit Schwierigkeiten hat,
https://forum.opnsense.org/index.php?topic=7254.0
leider ohne Replys und damit auch ohne Lösung.
Ebenfalls gefunden habe ich
https://forums.freebsd.org/threads/pf-transparent-bridge-squid-finally-working-on-freebsd-12-1-for-opnsense-12-7_7.78279/
was immerhin darauf hinweist, das es grundsätzlich geht. Leider komme ich damit nicht wirklich weiter.
Der Kollege stellt ein Howto in Aussicht, was ich aber nicht gefunden habe. In den Konfigs rumeditieren bringt aber auch wenig da Opnsense die händischen Änderungen vermutlich dauernd überschreibt. Schade eigentlich.
Wenn ich das richtig verstehe ist das in pfsense kein Problem.
https://www.youtube.com/watch?v=1EXgyvwJZ6k

Also nach lesen folgender Doku https://docs.freebsd.org/doc/9.2-RELEASE/usr/share/doc/freebsd/de/books/handbook/network-bridging.html
kann ich zumindest schon mal Kund tuen das man die Einstellungen für
net.link.bridge.pfil_member und net.link.bridge.pfil_bridge
nicht zu ändern braucht wenn man "All in Allow" in den Interfaces sitzen hat. Auch die Natregeln ausschalten ist nicht notwendig, auf Manuell stellen reicht vollkommen. Es wird dann wieder auf den Interfaces LAN und WAN und nicht an der Bridge gefiltert und man kann sich seine Regeln ganz normal selbst wie gewohnt bezogen auf Interfaces zusammen stellen.

Es gibt verschiedene Grüde für das Vorgehen.
Wie ich schon sagte ist mein aktuelles Ansinnen vor Allem das Messen (metern) von jeglichem Traffic.
Dies schließt nicht aus später Regeln einzuziehen welche firewallen. Zunächst möchte man aber ein einwandfrei laufendes System haben damit die Fehlersuche überschaubar bleibt. Dies leistet eine Bridge.
Das Konzept einer bridging Firewall verhindert Doppelnat zumal die Fritzbox schon eigenes Nat bei ipv4 durchführt, es erleichtert aber auch die ipv6 Zuweisungen und Administration. Ich sehe keinen Grund mit dhcp6 und icmp Gebastel eigene ipv6 Subnetze aufzumachen wenn funktionierende ipv6 Daten an der Fritzbox anliegen. Auf dem System läuft jetzt schon neben unbound auch ein IDS einwandfrei.
Ich sehe keinen ernst zu nehmenden Grund warum mein Ansatz nicht gehen soll, ich suche lediglich den Weg dahin in einer Umgebung (FreeBSD) in der ich leider nicht 100% firm bin, auf einem Gnu/Linux System mit Iptables bin ich eher zuhause. Ich sehe das also auch unter dem Ansatz "lernen". Ich hoffe das reicht als Begründung "warum so und nicht anders".

Um die Frage oben zu präzisieren:

In der genannten Anleitung wird mit den Systemtunables die Prüfung der beteiligten IF ab ud die Prüfung auf der Bridge angeschaltet. Warum muss das so sein und kann man das auch so betreiben wie es ursprünglich eingestellt war? Also Prüfung auf den IF und nicht auf der Bridge? Oder sogar Prüfung auf IF UND Bridge?
Was outbound NAT angeht... Macht es Sinn outbound NAT manuel wieder einzuschalten wenn man halbwegs weiß was man tut? Warum muss die Outbound Nat angeblich deaktiviert werden... und was wird da genau deaktiviert? Betrifft das nur das Opnsense Webinterface mit automatisch generierten Regeln oder wird da tiefer ins System eingegriffen? Es gibt zu Bridging Opnsense leider nicht so viele Beiträge und Howtos die hier Aussagekräftig sind.

Hallo, folgendes,
ich habe ein opnsense als Bridge mit 2 Interfaces nach Anleitung https://docs.opnsense.org/manual/how-tos/lan_bridge.html frisch aufgesetzt. Bridges arbeiten ja wie Switches auf ISO-OSI 2 bzw. entsprechen einander.
Zusätzlich hat der entstandene Bridge Adapter BR0 aber eine IP Adresse aus dem Lan Netz bekommen und so entspricht das eher einer Managed Bridge/Switch. Dies mache ich weil da auch Dienste drauf laufen sollen welche an eine IP gebunden werden müssen. Funktionierendes Beispiel bei mir ist z.b. unbound. Soweit funktioniert auch alles bestens. Der Aufbau ist wie folgt:
|fritzbox|-----|opnsense|------|pc|, alles im 192.168.178.0/24er Netz, die opnsens hat statisch die 192.168.178.254, die pcs beziehen dynamische ips.
Ich kann so von beiden Seiten der opnsense an die BR0 (über LAN und WAN If) um den Firewall Rechner zu administrieren da ich per Wlan der Fritz über das WAN If komme und von dem PC aus über das LAN If.
LAN und WAN haben keine IP Adressen und durch die System Tunables wird die Bearbeitung von Regeln von den Member IF auf das Bridge IF umgelegt. Zusätzlich aber unnötiger Weise hab ich auf alle If (auch auf BR0 und Lo) "All in Allow" Regeln gelegt da ich derzeit nichts filtern sondern nur metern möchte. Die Regelverarbeitung auf LAN und WAN sollte aber eh wegen der System Tunables umgangen werden. Unbound ist an die Bridge gebunden und läuft prima.

Jetzt zu meinen Fragen:
Da dies alles so prima läuft würde ich gerne auch ein transparenten Webproxy nutzen.
Also habe ich mir den Webproxy zunächst auf BR0 eingerichtet und im Browser eingestellt. Nach etwas Fummelei und der Erkenntnis das der SSL Port 3129 nicht funktioniert (egal was man da einstellt, sockstat melden keinen 2. LISTEN Port obwohl squid das kann), man aber HTTP und HTTPS beides über 3128 laufen lassen kann, habe ich den so zum laufen bekommen. Nun folgte die Umstellung auf Transparent - also Häkchen rein für Transparent, an die Lo statt an die BR0 gebunden und dann fehlt eigentlich nur die NAT Regel welche den http Trafic aus dem Datenstrom der Bridge fängt und auf lo umleitet.
Die automatische Regel welche einem da im Hilfetext angeboten wird lauscht dann auf dem LAN und fängt http ab um es nach lo umzuleiten. Nur leider funktioniert das so nicht. Auch nicht wenn man statt auf LAN auf BR0 lauscht. In der genannten Anleitung wird beschrieben das man outbound Nat ausschalten soll aber die Regel nutzt ja letztlich outbound Nat für die Umleitung auch wenn sie unter Portforwarding landet. Da Regeln auf den an der Bridge beteiligten Adaptern aber eh nicht ausgeführt werden kann es sich nur um die BR0 drehen. Da scheint aber nur das Regelwerk in den Floating Rules zu greifen.... wo man allerdings keine NAT Regel rein bekommt...

Wer hat also eine Idee wie ich die Regel einstellen muss so das der transparent Webproxy funktioniert?

Lieber Franco,
"in Frage stellen" heisst aus meiner Sicht nicht, das ich das Gegenteil behaupte sondern das man da mal genauer schauen muss.. und der Maßsstab, welchen ich zu "open" anlege ist nicht mein privater sondern die übliche Praxis die LSB aus Gnu/Linux betreffend. Das es gute Gründe dafür gibt stelle ich nicht in Frage und das bzw. warum ich das so sehe hatte ich erklärt. User mimugmail hat oben die Möglichkeiten das System jenseits der GUI seinen Bedürfnissen anzupassen schön dargestellt.
Ich kritisiere auch niemand persönlich und ob man mit mir reden kann, sollte jeder selbst beurteilen können. Die fachliche Grundlage zu bezweifeln durch angeblichen "Magel an Argumenten/Beweisen" ist auch keine feine Art und zeugt eher von Unsicherheit. Ich bin an fachlicher Kommunikation interessiert und nicht an Stimmungsmache!

So und zum Abschluss quote ich mich jetzt auch noch mal selbst... in der Hoffnung das es dann wenigstens verstanden wird!

Aber darum geht es mir hier nicht... und das will ich auch nicht verhackstücken.

Dafür ist die Diskussion leider jetzt schon zu sachlich als dass diese den Anschein wecken könnte hier würden Personen für Ihre Ideen kritisiert und damit auch die Verwendungsgebiete von OPNsense negativ abgesteckt.

Und auch hier noch mal... es geht mir nicht um persönliche Kritik. Aber du suchst schon Streit, oder?

Schöne Zusammenfassung, Danke.

Nur ein Xeon?

Ja was würde dir denn so vorschweben?
Ich wär mit nem Xeon Platinum 8180m Processor Dual Board schon einverstanden... :)
Also gut.. das sind dann 2 Xeons ... aber einer wär auch schon ok.

kannst du nicht auf dnsmasq komplett verzichten und nur Unbound als Forwarder nutzen?
Der dhcp server aktualisiert den Unbound fürs lokale Netz auch und dnsmasq dürfte langfristig auf Opnsense obsolet werden. Das sollte deine Probleme lösen. So ist es auch per default eingestellt wenn man die 19.1 neu installiert.

Ja genau darum geht es. Deshalb völliges Unverständnis...

Was soll ich dazu sagen... ja um Unverständnis gehts... Webmin und die GUI würden ja nicht 2 unterschiedliche Postfixes managen wie von Fabian vermutet, sondern beide das eine gleiche Postfix. Da die GUI aber fremde Einstellungen überschreibt, wären Änderungen Seitens Webmin nicht mal von Dauer. Webmin müsste die Files ändern, aus denen die GUI die Änderungen generiert um dauerhaft zu wirken und dafür ist es nicht ausgelegt. Stichwort proprietäre Dateien vs. LSB. Aus dem Grund muss man aber auch nicht mal große Angst haben, das Webmin was zerstört.

Mir ist noch nicht klar wie weitgehend das Konzept der generierten Configs seitens der GUI/Opnsense durchgezogen wird aber es verhindert an den Stellen, die ich mir angesehen habe, nachhaltig händische respektive Webmin Änderungen und das steht auch in den Files als Header eingetragen.
In so fern ist aber auch die Sorge vor Eingriffen durch Webmin, die hier im Thread mehrfach geäussert wird relativ unbegründet, stellt aber auch den Begriff "open" im Namen in Frage.
Aber darum geht es mir hier nicht... und das will ich auch nicht verhackstücken. Mir waren die Zusammenhäng so nicht klar weil ich von GNU/Linux komme und da sowas unüblich ist. Über Geschmacksfragen möchte Franco nicht reden... und ich bin selbst lang genug Admin und Programmierer, so das ich mir selbst ein Bild von der Geschichte machen kann. Ich habs nu kapiert und gut is.

Out of the box eher nicht... man muss sich alles selbst zurecht scripten.
Vergiss mein Vorschlag.
Ich halte es inzwischen für kaum noch möglich/sinnvoll, auf Opnsense eigene Software über die Funktionalität der GUI hinaus zum laufen zu bringen da ich erst jetzt begriffen habe, das alles von der GUI platt gemacht wird was nicht irgendwie speziell gegen sie gekapselt wird. Siehe Diskussion zu Webmin.
Benutzt opnsense als das für was es gemacht is.. und gut is.

Die wenigsten können mit sfp/fiber was anfangen und selbst ein TL-SG1008 Switch hat auch schon 4 POE Ports an 8 x 1GB Lan wie ich weiter oben schon sagte. Viel beeindruckender fände ich wenn da nen fetter Xeon drin werkelt... vermutlich isses aber eher ein Atom/Celeron. Und ich bezweifel das POE da Hardwareseitig schaltbar ist... das war ja deine Intention ... das müsste ja dann zumindest mal der Netzwerk Treiber auch können... Ich kenne jedoch keinen Netzwerktreiber der das könnte. Aber das muss natürlich nichts heissen...
In sofern belasse ich es mal bei einem "aha, nett"

Ja das wars.. muss man auch erst mal drauf kommen...  ;) :o :) eieiei ...

hm.. ich bin für Feature-Request.
Allerdings ist BSD/pf für mich recht neu... bin halt iptables-geschädigt.  :o

Hallo,
ich habe über die GUI im IDS an den Suricata Regeln rumgespielt (aktiviert) und würde die gerne wieder auf default zurück setzen. Ich habe verschiedenes versucht, u.a.
https://suricata.readthedocs.io/en/suricata-4.1.3/rule-management/suricata-update.html
die configs zu finden welche da für enable/disable agegeben werden,
ein pkg upgrade -f, da ein delete noch anderes löschen würde brachte auch nichts...
Also es geht um die aktivierten Regeln und nicht um die Regelsets.

Ich vermute, die zusätzlich von mir als aktiv gesetzten Regeln sitzen in einem File was die GUI anlegt und nur gelöscht werden müsste - analog zur Anleitung von Suricata.... Welches File oder directory ist das? Oder... wenn ich falsch liegen sollte... wie stellt man suricata auf den Opnsense Auslieferungszustand zurück?