Messages

Thank you for your suggestion. I started with it with, but I had/have to check the Cisco manual in deep! Before, I have used a Zyxel switch for my real network which I'm replacing. For the test-setup I'm using the smaller Cisco one. Nevertheless, I'll come back with more concrete ideas about my homelab and a schema of the planed network :)

I am replacing my HomeLab LAN with the latest OPNsense version on an APU4C4 and Cisco SG-200 managed switch.

In addition to the LAN (192.168.11.0/24) on igb1, I have three additional VLAN devices (User, Guest, IoT with IDs 10, 20, 30, and 192.168.{110,120,130].0/24) with igb2 as the parent. The static interface IPs are set to the .1 host in the network, and DHCP/DNSmasq is also configured for LAN and VLANS. Everything looks OK to me here.

The physical devices igb1 and igb2 go to the switch. All ports are configured as trunk ports - except for port g3, which is the access port for VLAND ID=10. My test PC is also connected to this port, but it is not receiving an IP address. When I plug the cable into port g4, I receive an IP address from the LAN network.

What is not as I expect here, and how can I narrow down the error?

All firewall rules are default.

Thank you for your answer. Using a trunk/lagg and a separate port for LAN did work here also. I only ask to join them onto one device. Probably I have to use a bridge for LAN 192.168.11.0/24 and the VLANS. But today, other problems rise which I have to solve before.

If I also set the LAN 192.168.11.0/24 to lagg0, it is no longer possible to connect to OpnSense's API at 192.168.11.1. Even if I configure g1,g2 on the switch as the access port for VLAN ID 1, there is no longer any access. A network scan of the network shows me all devices—except 192.168.11.1.
So what did I not understand or read? The switch treats the LAN as tagged with VLAN ID 1, or is there something else?

I am trying to rebuild my network. I have an APU 4C4 with OpnSense 25.7: igb0 is LAN, igb1 is WAN, and igb{2,3} is LAGG/LACP 'lagg0_downstream'. This goes to a Cisco Switch SG200-8, where g7,8 is configured as LAG chan1 'lagg0_upstream'. All other ports on the SG200-8 are trunk or default. My dumb Openwrt Unify AP is connected to this.
In addition, I have configured VLAN 10,20,30 (User, Guest, IoT) on the OpnSense with their own networks, which are placed on lagg0. The LAN cable also goes to the SG-200.

Now to the question: I want to put the VLAN and the LAN itself untagged on the LAGG, but so far I haven't been able to do it without locking myself out. The LAN and the 3 VLANs should then go to the Unifi AP on the switch. The other ports on the SG200 would then serve as access ports. I would use the LAN igb0 port that would then be free for the DMZ. Would that make sense, or should I also put the DMZ in VLAN?

Sehe ich das richtig, dass noch immer kein WLAN AC unterstützt wird? Sollte das zugrunde liegende hardened BSD das nicht bereits können? Mein externe AP nervt u.U.

Warum blockst du überhaupt ausgehend TFTP, SNMP und Syslog? Warum sollte das rausgehen? Wovon? Warum sollte es dann da schon reingelassen werden?

Aus der SANS FAQ:

Trivial File Transfer Protocol - TFTP (UDP/69) When an attacker exploits a system, the first thing he does is go looking for some way to move his toolkit onto the system. TFTP is the tool of choice since it permits the attacker to transfer the file without any interactive prompting.  Not only should you block outbound access to TFTP, but you should also alert on this traffic pattern since it is usually an indication that an internal system has already been compromised.  As a bonus feature, blocking TFTP will prevent the transfer of the toolkit, thus making system recovery that much easier.

Prinzipiell trifft das lt. der FAQ auch auf IRC zu (darüber ließt man dann in den News konkret) etc. Wer aus einem hijacked System raus will, findet auch einen Weg (ggf. HTTPS/SSH), aber man sollte es ihm/ihr nicht so einfach machen. Ich hatte mal einen RaspPI am Netz hängen und konnte durch Zufall auf dem Screen mit ansehen, wie das Teil auseinander genommen wurde - getauschte SSL Certs, per cpio ein neues home unter /var/lib etc).

Wie das Regelwerk abgewarbeitet wird, steht eigentlich klar in den Docs drin. Regeln mit Quick (Blitz) sind first match - also top down die erste gewinnt. Ohne quick ist es "last one matches" außer es gibt vorher eine Regel die quick ist. Daher mixt man die nur höchst ungern.

wie wird den konkret in und out in dieser gegeben Reihenfolge abgearbeitet? Solange alles dir=in war, war alles klar

Ich sehe tatsächlich recht wenig Sinn in WAN Egress Filtering bis auf einige wenige Ausnahmen. RFC1918 outbound bspw. - das hat upstream nix zu suchen und wird spätestens dort eh verworfen, muss aber gern nicht erst dahinkommen. Alles andere: Warum soll ich es "out" blocken wenn ich es "in" gar nicht reinlasse? Macht für mich wenig Sinn :)

wie gesagt, Malware und anderes Ungeziefer, das evtl. die Kiddies ahnungslos reinlassen und dann raus wollen um dann richtig nachzuladen.

ich habe gerade die dockerized Instance von NextCloud/x86 nicht am laufen, glaube mich aber zu erinnern, dass 512MB bis 1GB verbraucht werden - ohne die üblichen AddOns (allerdings mit postreSQL bei mir). Wenn man diese nicht gerade für den sonstigen Gebrauch (auch dank COVID-19 und Kid's Schul-Cloud) zu laufen hat, finde ich das Overkill.

Mit den custom CRON jobs ist natürlich schade zu lesen ...

Hi,

I'm using DNS NAT to redirect DNS transfer to local unbound. This was working until yesterday. I've no idea what I've changed, suddenly DNS resultions doesn't work any more. On logs I see incoming DNS/UDP packets rejected and I have no idea why? Any hints?

libqrencode and install the missing packages via pkg install ... solved it. I could swear htop got the tools by its own build process ...

Hello OPNsense Freunde,

wie werden die Regeln für egress Filtering bzgl. Reihenfolge angewandt? Die Doku (https://docs.netgate.com/pfsense/en/latest/book/firewall/ingress-and-egress-filtering.html#egress-filtering) ist nicht sehr aussagekräftig, oder ich habe nicht aufmerksam genug gelesen.

Ich habe mich diesem mal angenommen (siehe auch [Egress Filtering FAQ - SANS Institute](https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059)) und was heraus gekommen ist ist im Anhang zu sehen - ein Misch aus ingress und egress Filtering bzgl. Reihenfolge. Oder ist das bzgl. in/out egal?

Ich überlege mir, gerade den MS Kram mit in die Silent Block Category aufzunehmen - da schwirrt ja eine Menge rum. Was sagen die Praktiker dazu?

Hello OPNsense friends,

for a self written script I require qrencode. I installed the opnsense tools and ports and found:

Code Select Expand


/usr/ports/graphics/qr-code-generator


but failed to compile it:

Code Select Expand


sudo make install
===>   qr-code-generator-1.6.0 depends on package: gmake>=4.3 - found
usage: install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 file2
       install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 ... fileN directory
       install -dU [-vU] [-g group] [-m mode] [-N dbdir] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               directory ...
*** Error code 64

Stop.
make: stopped in /usr/ports/graphics/qr-code-generator


Before, I compiled and build htop successfully, which was quite easy. So, what is the way to compile/install this? My first attempt was to compile py-qrencode, but it will install a lot of other and therefore unwanted tools! Hence I ^C the build ....

Finally I only want to call

Code Select Expand


echo "Foo Bar" | qrencode -t ANSIUTF8


to get my QR Code.

Hi,

ich habe ein ähnliches Setup mit Cable-Router, OPNsense etc. wie Du bzw. wie JeGr vorgeschlagen hat. Hier einmal wie ich vorgegangen bin:

- [OpenDNS](https://docs.opnsense.org/manual/opendns.html), Account anlegen, DNS Anfragen werden nach Deinen Angaben schon vor gefiltert (Porn etc. on/off obliegt Dir X-)
Damit werden die entsprechenden Einträge in den DNS server unter System eingetragen, die nicht durch das DHCP WAN (also per Modem) überschrieben werden sollten, siehe Anhang
- [Unbound DNS](https://docs.opnsense.org/manual/unbound.html) einrichten, siehe Anhang (die Custom Settings ignoriere bitte)
- [HOWTO - Redirect all DNS Requests to Opnsense ](https://forum.opnsense.org/index.php?topic=9245.0)
- im WAN habe ich nun keine Regeln, wie gesagt: per default wird alles geblockt.

mache ich nun aus dem internen! Netz einen Scan auf meine externe IP:

Code Select Expand


sudo nmap -p22,53,80,443  xxxx.ddns.net
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-13 19:48 CEST
Nmap scan report for xxxx.ddns.net (AA.BB.CC.DD)
Host is up (0.00048s latency).
rDNS record for AA.BB.CC.DD: cool-aa-bb-cc-dd.provider.de

PORT    STATE    SERVICE
22/tcp  filtered ssh
53/tcp  open     domain
80/tcp  filtered http
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 1.37 seconds


so scheint zB. der Port 53 von außen offen zu sein. Machst Du aber mittels eines online Port Scanners (zB. http://www.dnstools.ch/port-scanner.html) einen Test auf Deine externe IP:53 (oder eben 80,443,...), so ist dieser geschlossen! Erfolgt kein Redirect werden viele DNS queries mit imo teilweise fragwürdigen IP/DNS Namen geloggt (so war es bei mir zumindest).

Die Profis hier können den Grund für obiges sicher besser erklären - ich denke aufgrund der bekannten/notwendigen Route zum Model/WAN und NAT reflection? klappt es über das interne Netzwerk so "einfach". Aus dem gleichen Grunde kommst Du auch via dem WAN auf das WebUI Deiner Fritzbox (bzw. Cable Modem).

Evtl. bringt das ja etwas Licht in Deine Sache?

Hello,

I have here a strange blocking message about SSDP Protokoll Port 1900 from host which shouldn't exist there. My network topology is as of:

Code Select Expand


Internet
   |
   |
Provider IP
   |
Cable Modem (Web API 192.168.0.1)
|       |
|       +-- 192.168.0.10 pfsense (old Setup, to be replaced)
|
+-- 192.168.0.111 (WAN)
       OPNsense (current setup)


Dst '239.255.255.250' is the multicast SSDP adress  with port 1900 (see [Simple Service Discovery Protocol](https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol)) which I want to silent block next time; but, where from comes the source IP? There should be only the two from the senses, there is no WLAN on cable modem active!

Anyway, does the pf rule attached do the job (no idea about netmask and brastcast 'IP's)?

keine direkte Hilfe, aber evtl. hilft Dir ja [unbound plus](https://forum.opnsense.org/index.php?topic=14116.0) hier weiter?