Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - kruemelmonster

#1
Quote from: Bob.Dig on May 29, 2026, 02:17:36 PM
Quote from: kruemelmonster on May 29, 2026, 12:13:45 PMAllerdings habe ich auf meiner Sense (reiner Heimgebrauch) die LANs/VLANs nur ausgehend dicht und regele hauptsächlich dort die Querzugriffe zwischen den Netzen.
Hoffentlich nicht und Du verwendest nur die falsche Begrifflichkeit. Hover mal mit der Maus über den Pfeil in deinen Regelen und da wird Dir vermutlich "in" angezeigt und nicht "out".

Das passt schon so. Ich lasse alle Geräte im Grundsatz ins Internet. Da alles  eingehend dicht machen und dann Regeln einzeln für jedes Protokoll... ich habe besseres zu tun. Aber zwischen den Netzen regele ich die Zugriffe. Habe 2 ..3 Kleine Dienste zu laufen, die ich per Handy im WLAn und auch über Wireguard erreichen will. Das löse ich auf dem betreffenden Interface mit ausgehender Regel. Funktioniert sehr gut.


Quote from: Bob.Dig on May 29, 2026, 02:17:36 PM
Quote from: kruemelmonster on May 29, 2026, 11:57:20 AMDemnach kann ich die unter "Rules [New]" also löschen.
Du hast doch gerade dahin migriert, warum willst Du ausgerechnet dort Regeln löschen.
Stimmt. habe mich vertippt. Ich meinte natürlich die alten Regeln.
#2
Dankeschön !

Ich denke, ich habe alles hinbekommen. Habe zunächst alle neuen Regeln aktiviert und danach die alten Regeln Interface-weise deaktiviert. Geht alles wie bisher.
Sehr schön. Dann kann ich diesen Punkt wohl beruhigt mit einem Häkchen versehen.
#3
Was mir jetzt auffällt: Wo sind unter "Rules [New]" die automatisch generierten Regeln zu sehen? Bekomme ich die erst nach vollständiger Umstellung (also Aktivieren neue Regeln, Löschen alte Regeln) zu sehen? Oder habe ich da etwas vergurkt?
#4
Quote from: Patrick M. Hausen on May 29, 2026, 12:02:12 PMDas sind Filter-Regeln, keine NAT-Regeln. Die brauchst du wahrscheinlich. Du willst den geNATeten Traffic ja auch erlauben.
Das ist schon richtig. Allerdings habe ich auf meiner Sense (reiner Heimgebrauch) die LANs/VLANs nur ausgehend dicht und regele hauptsächlich dort die Querzugriffe zwischen den Netzen. Eingehend sperre ich da nur gezielt einzelne Hosts ein.
#5
Quote from: Patrick M. Hausen on May 29, 2026, 11:54:50 AMNAT Regeln bleiben unter NAT. Wobei auch hier "Outbound" durch "Source NAT" abgelöst werden soll.
Danke. Demnach kann ich die unter "Rules [New]" also löschen.
#6
Hallo *,

ich habe angefangen, meinen FW-Regeln in das neue GUI "Rules [New]" zu übertragen. Bei meinen Regeln sind auch einige NAT-Regeln dabei (Umleitung NTP, DNS auf OpnSense bzw. NetGuardHome).

Muss ich die auch in die neue Maske übertragen oder bleiben die weiterhin unter NAT? Dazu habe ich in der Doku nichts gefunden, was aber auch an meinen fehlenden Englisch-Kenntnissen liegen kann. Alles Andere bilde ich mir ein, halbwegs verstanden zu haben. Aber da werde ich wohl auch hier und da noch nachfragen müssen.

Danke schon mal vorab.

#7
Ich bin selbst auch nicht der große Crack, was die OpnSense betrifft. Ich verfahre nach dem Prinzip, minimaler Aufwand zur Erreichung meines gewünschten Ziels.  Zur Virtualisierung kann ich nichts beitragen. Das mache ich aus Prinzip nicht bei wichtigen Basisdiensten. Und Internet ist für mich ein wichtiger Basisdienst.

Was hast du für eine Fritte? Bei Kabel ist es klar, geht nicht anders. Ansonsten ersetze die Fritte durch ein Modem und lass OpnSense die pppoe-Einwahl machen. Funktioniert tadellos.

Ich verstehe allerdings nicht wirklich, was du mit deinen - aus meiner Sicht maximal umständlichen - Standard-Regeln 1. und 2. erreichen willst. Die OpnSense stellt bei der Installation die Regeln automatisch so ein, das du aus jedem lokalen Netz ohne weiteres Zutun ins Internet und natürlich in jedes lokale Netz kommst. 
Was das Blocken der Zugriffe zwischen den (V)Lans und dem Internet betrifft, musst du erst mal festlegen WAS du erreichen willst.
1. Entweder Zugang für jedes LAN nach irgendwohin zu und nur erlaubte Protokolle etc. einzeln aufmachen. Dann ist eine eingehende Sperre nach Any auf jeden Lan der Ansatz.
2. Oder du erlaubst allen LANS den ungehinderten Zugriff ins Internet, sperrst aber dafür jedes einzelne LAN mittels Sperr-Regel ausgehend, damit die Lans voneinander getrennt sind.

Ersteres ist mir persönlich für Zuhause schlicht zu aufwendig. Da bin ich alle Nase lang am Nachjustieren der FW-Regeln weil irgend etwas nicht geht. Auch nicht ins Internet!
Also Letzteres. Da brauche ich nur noch auf jedem LAN die notwendigen Regeln ausgehend erstellen, für das was gehen soll. Ist erheblich einfacher zu überschauen und vor allem wesentlich weniger fehleranfällig.

Und wenn du "This Firewall" erreichen willst, musst du selbstverständlich die IP-Adresse des Interfaces verwenden, nicht das Netz selbst. Du erreichst doch jeden anderen Host auch mit seiner IP, nicht mit der seines Subnetzes. Und bei allen FW-Regeln kannst du als Quelle oder Ziel natürlich ein Netz oder einen Host angeben. Die Regel greift dann aber natürlich auch völlig unterschiedlich.


#8
German - Deutsch / Re: Kaufberatung
March 05, 2026, 03:00:36 PM
Quote from: meyergru on March 05, 2026, 12:36:03 PM[...]
Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.

Ein Anbieter für die Dinger ist u. a. die Fa. nrg-systems.de. Die verkaufen sie als IPU-Systeme.  Geht preislich ohne RAM und SSD mit einem N5105 in 4x i226 bei 320,- los. Habe selbst so eine China-Box. Allerdings gekauft dann doch etwas günstiger als reinen Barbone bei Ali. Habe es bisher nicht bereut. 
#9
German - Deutsch / Re: Kaufberatung
February 27, 2026, 05:01:21 PM
Quote from: osmom on February 26, 2026, 11:34:08 AMIch werfe für alle Stater mal das Gerät von Thomas-Krenn Edge4Go in den Ring, da es nur 100 EUR kostet. Dafür hat es halt nur 4GB DDR3 Speicher.
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/edge4go-konfigurator?xtxsearchselecthit=1
Das ist in der Tat ein sehr guter Preis. Ich habe 2018 für meinen APU.2C4 von PC-Engines mit ähnlichen CPU-und Speicherdaten aber wesentlich kleinerer SSD noch gut 190,- gelöhnt. Der ist aber an sich gut gelaufen. Nur Wireguard war nicht ganz sein Ding...
#10
Ich halte es ebenso wie Patrick. Raus darf jeder Client. Nur eingehend ist auf dem WAN dicht. Zusätzlich habe ich das VLan, in dem meine Rechner und vor allem mein NAS (mit 2 ..3 kleinen virt. Servern) hängen ausgehend dicht gemacht. Damit kann ich sehr sauber kontrollieren wer mit seinem Gerät (Laptop, Handy etc.) auf welche Resource (u. a. Rezept-Datenbank, paperless ) in dem Vlan zugreifen darf. Zusätzlich ist auf meinem Hauptrechner, auf dem paperless läuft, jeglicher Zugriff mit der Firewall des PC eingeschränkt.

DNS halte ich genauso wie Patrick. (kein Wunder, habe das Konzept letztlich von ihm übernommen,-). Nur das ich auf dem unbound auf der OpnSense zusätzlich die DoH-Filterliste von hagezi und 2 ..3 manuell eingetragende Blockaden verwende. Ob das bei DoH 100%-ig funktioniert, wage ich zu bezweifeln, aber besser als nichts. Habe an der Stelle bislang nicht das Gefühl, das da etwas zuviel geblockt wird.
#11
Ich habe vor kurzem (vor/letzte? Woche) von ISC / unbound / AdGh umgestellt.

Nutze jetzt AdGh zusammen mit dnsmasq und unbound. Das funktioniert stabil.
AdGh leitet an unbound weiter. Dnsmasq macht DHCP und ist autoritativer DNS-Server für meine interne Domain. Anfragen dazu werden von unbound dorthin umgeleitet. Funktioniert im dnsmasq mit statischen Überschreibungen und auch mit dynamischen IPs.

#12
Ich bin derzeit dabei, von ISC auf dnsmasq umzustellen. Ich habe die Konfiguration von DHCP weitgehend nach diesem Beitrag vorgenommen. 
Soll heißen- DHCP-Interfaces und Adressbereiche eingerichtet, Host-Überschreibungen und auch feste IP-Zuweisungen eingetragen. Einstellungen bis auf AR (nutze kein ipv6) eingetragen.
dnsmasq startet auch, wenn ich ISC stoppe. So weit so gut. Allerdings kann ich derzeit nicht prüfen, ob dnsmaq auch als DNS-Server fungiert. Wie kann ich den Dienst gezielt unter Linux "befragen"?


Was ich derzeit habe:
Ich habe AH-Home installiert (port 53053, der leitet derzeit direkt an unbound  (port 53) weiter. In unbound sind die Überschreibungen von Geräten mit fester IP (ohne DHCP auf dem vlan) eingetragen., IP-Zuweisungen in ISC.

Künftig:
Soll AGH an dnsmasq weiterleiten, dort sollen auch die festen Adresszuordnungen und Überschreibungen für Clients liegen.  dmsmasq wiederum soll dann an unbound weiterleiten.

Wie  muss ich das konfigurieren, geht das überhaupt?
Bin für jede Hilfe dankbar.


#13
Vielen Dank für die Erklärung. 
Ich versuche immer noch etwas dazu zu lernen. Ist halt kein Vergleich als HeimNetzwerkadmin im Vergleich zu euch Fachleuten, die beruflich bedingt die Netzwerkmöglichkeiten und Eigenheiten bis in die hintersten Winkel kennen.

Und ja, die Regeln auf dem WAN sind vorhanden. 
#14
Quote from: Patrick M. Hausen on October 01, 2025, 03:28:52 PMDu stellst Unbound auf "alle Interfaces" und Port 53 ein.
[...]
Das sind die 4 Einstellungen, die du machen musst.
Warum stellst du unbound auf "alle Interfaces" ? Ist es nicht besser, den WAN-Anschluss da auszuschließen? Ich habe es jedenfalls so gemacht und das Duo unbound/AGH tut brav seinen Dienst.
#15
Quote from: OPNRoger on September 30, 2025, 01:17:48 PMVielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?
Nein. Fritte und Co. machen das nicht. Nur das was Patrick schon beschrieben hat. 
Es sind ganz sicher Mehrwert-Dienste. Die sind auch nicht per-se zu verteufeln. Aber man muss sich bei der Nutzung über die Risiken im klaren sein, insbesondere wenn die direkt auf der Firewall laufen. 
Man kann allerlei Dienste auf die OpnSense packen. Das funktioniert auch. Aber wenn man alles und jeden Dienst auf der Sense hat muss man die Konsequenzen bedenken. Das kann dann ggf. zu einer 24/7 Überwachung der Sense ausufern...