Messages

I operate my own root and intermediate CA and would like to use a certificate for the Syslog client (TLS). I have taken the following steps:

• I imported the certificates of both CAs into OPNsense (System: Trust: Authorities)
• Created a CSR for a leaf certificate in OPNsense (System: Trust: Certificates)
• Signed the CSR with my intermediate CA.
• Opened the CSR for editing in OPNsense and inserted the PEM data of the certificate.
• When I try to save the new certificate, I get the error message "Invalid X509 certificate provided: error 20 at 0 depth lookup: unable to get local issuer certificate".

I performed this process some time ago and had no problems. Unfortunately, I cannot find any documentation for my request. I would be very grateful if someone could help. Thanks in advance.

But I would recommend against it. Once you change your network settings you will find out that they are not propagated through DHCP. Why don't you like static IPs?

It's not that a don't like static IPs at all. In my opinion, it is a question of responsibility. I often read that a fixed IP address is configured for servers on the server itself using ifup or network manager. However, the operator of the network segment should be responsible for this. The DHCP service should therefore not only assign dynamic addresses, but also static ones. DHCP clients do not need to ask every hour for an address that rarely or never changes.

Unfortunately, it is not clear to me whether I should configure something on the OPNsense for this. Or whether and how I tell the dhclient on the host that a DHCPREQUEST at system boot is sufficient.

Hello everyone,

I am using the DHCPv4 service on my OPNsense. Connected to it is a Proxmox host with some VMs. Each guest is assigned an IPv4 address via static lease. The guests are running Debian Bookworm with ifup and dhclient. However, the dhclient now makes a DHCPREQUEST about every hour. Because the IP addresses almost never change, a DCHP request during boot would be enough. What do I have to configure? Don't find any hints for dhclient.

I don't want to set a static IP on the guests, because in my opinion this is the task of the DHCP server.

Code Select Expand


# /etc/network/interfaces
allow-hotplug ens18
iface ens18 inet dhcp


I have chosen the easy way.  ;D What was still missing for me was the redirect part:

Code Select Expand


local-zone: "example.com." redirect
local-data: "example.com. IN A 192.168.20.65"


Let me ask you another question:

Up to now, I have addressed my services on the Internet via the following URLs. Using port forwarding on the OPNsense, I have routed the requests to the responsible host in the network.

Web Server: https://example.com
Reverse Proxy NAS: https://example.com:5001
FTP Server ftp://example:com

In the LAN, the Unbound DNS is now responsible and delivers the IP to the host. Now I would like to ensure that clients on the LAN can use the same URL as when they access from the Internet. Should the URLs then look like this? Is this usual?

https://www.example.com
https://nas.example.com:5001
ftp://ftp.example.com

In my home setup, I have an OPNsense as well as a server and other devices that are publicly accessible via NAT port forwarding. I also have a domain (e.g. example.com). DDNS takes care of updating the DNS records. Everything has been working perfectly for a long time. However, if I now want to access the server at home via the public domain, this does not work. After some time I get a timeout from the client/browser. Why not?

Actually, a request should be routed out to the ISP and from there back to my DSL connection.  :o

I would like to mention at this point that I use Unbound for my private zone (e.g. example.home.arpa). Maybe I can solve the problem there somehow, but I don't know how.

Thanks in advance.

Dinge, die nicht 100% lokal funktionieren sondern nur über eine "Cloud", Dinge, die über was anderes kommunizieren als IP. Njet.

Oh, hier muss ich dringend etwas klarstellen: Meine IoT-Geräte laufen grundsätzlich ohne Anbindung an eine Hersteller-Cloud. Alles läuft lokal per MQTT und OpenHAB. Der Server (ein Raspi) kann lediglich über Port 443 mit dem Internet kommunizieren, um Updates installieren zu können.

Das wiederum in einer Wohnung in einem Mehrfamilienhaus. Nun möchte ich allerdings den Aufwand vermeiden, meine Wohnung mit Alufolie zu tapezieren, um Nachbarn funktechnisch den Zugang in mein Netzwerk erschweren.

Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern.

Ein Angreifer erlangt die Kontrolle über einen - bleiben wir mal beim Klischee - Windows PC. Wieso hat er jetzt auch die Kontrolle (also das Admin-Login) über die Firewall, um da Regeln zu ändern?

Oh, ich habe mich diesbezüglich wohl missverständlich ausgedrückt. Mit "kann er da natürlich auch die Firewall Rules ändern." meinte ich die Firewall des Hosts selbst. Nicht die Regeln auf einer Firewall im Netzwerk oder auf einem Switch.

Sprich: Ich kann auf dem Smart-Home-Server in der iptables outgoing alles mögliche verbieten. Das nützt aber nix, wenn jemand die Zigbee-Glühbirne hackt und darüber auf den Server kommt. Im Prinzip gleich verhält es sich mit dem Wifi-AP. Oder ist das zu paranoid?

Übrigens: Wenn Deine Switches das erlauben, kannst Du "port isolation" in bestimmten VLANs machen...

Ich habe einen Zyxel GS 1920 und wenn ich es richtig sehe, kann er das. Danke für den Hinweis.

Inzwischen hatte ich allerdings mal etwas in dessen Guide gestöbert und eine ACL bestehend aus Classifier und Policy Rules für den Smart Home Server konfiguriert. Es funktioniert.

Nimm dir mal ein Blatt Papier ... Nennt sich dann Kommunikationsmatrix.

Ich finde das mit der Matrix einen interessanten Ansatz zur Veranschaulichung und habe das gleich mal angewendet (siehe Anhang). Wie man sieht, darf VLAN10 überall hin, VLAN20 nur eingeschränkt und VLAN30 nur ins Internet.

Insbesondere bei dem DNS-Server und dem Reverse-Proxy bin ich mir nicht sicher, in welches Subnetz diese Dienste gehören. Der DNS-Server muss von allen (außer den Gästen) erreichbar sein. Sollte aber gleichfalls vor Manipulation gut geschützt sein. Der Reverse Proxy muss vom Internet erreichbar sein, baut seinerseits aber geschützte Verbindungen zum NAS auf.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander.

Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.

Gewiss habe ich auch schon bemerkt, dass es nervig sein kann, nicht alle Geräte von allen aus erreichbar zu haben. Auf der anderen Seite ist das je genau meine Policy. Der ganze funkende Kram ist in einem eigenen Subnetz. Unter untereinander sollen die auch nur so viel, wie ich zulasse.

PS: ich merke gerade, dass wir von meiner ursprünglichen Frage etwas abschweifen.

... Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen.

Ja, das habe ich auf bestimmten Hosts auch so gemacht. Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern. Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Das war mir peinlicher Weise gar nicht so bewusst.  :-\ Ich hätte sowieso gerne ein Tool, mit dem ich den Weg von IP-Paketen ausgehend von einem Host durch mein Netzwerk und den Interfaces der OPNsense tracen kann.

Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten

Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Macht es eine Unterschied, ob ich als Quelle das Subnetz (z.B. VLAN20) angeben oder "any"?

Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

Meine Policy habe ich sehr genau im Kopf. Was ich dazu auf der OPNsense vernünftigerweise konfigurieren muss/sollte aber nicht immer.

Danke. Ich glaube verstanden zu haben, was du meinst.

In welcher Reihenfolge würdest du Regeln für ein solches Subnetz (mit wenig vertrauenswürdigen Geräten) anordnen? Erst alle speziellen und dann alle allgemeinen oder umgekehrt? Erst Deny, dann allow. Oder umgekehrt? Mir fehlt irgendwie ein vollständiges, praktisches Beispiel. Im Netz finde ich nur Lösungen zu einzelnen bestimmten Fragestellungen. Selten das ganze Bild.