Messages

[Und nein, kein Client kommuniziert mit OPNsense.]

Liebe Mitglieder,

ich möchte mich bei allen Beteiligten für Ihre Ratschläge und Hilfe bedanken.
Leider komme ich auch aus zeitlichen Gründen nicht weiter.
Dank "pmhausen" und dem Hinweis auf "db-ip.com" gehe ich bis auf Weiteres davon aus, dass keine wesentlichen Daten übertragen worden sind.
Sehr bedenklich finde ich die Tatsache, dass es mir nicht möglich ist, die genaue Ursache zu finden.
Und nein, kein Client kommuniziert mit OPNsense.
Die OPNsense bleibt jetzt erst mal aus.
Meine Sophos macht ihren Job inklusive Aussperren mit GeoIP einwandfrei, auch wenn ich das Design und den Frontend von OPNsense deutlich ansprechender finde.

Ich denke, der Thread kann geschlossen werden.

Nochmals danke an alle.

Gruß
Andreas

@micneu:
Es geht mir weniger um den Ausgangsverkehr als um den Eingangsverkehr.
Meine Sophos-Protokolle zeigen ganz deutlich, dass meine internen Portale (NAS-Dienste, Mailserver etc... über den Revers-Proxy)  ständig von bestimmten Ländern gehackt werden sollen.
Daher sperre ich gezielt bestimmte Länder und identifizierte Hacker IP-Bereiche (z.b. Hetzner) für den eingehenden Datenverkehr aus.
Meine eingehenden Ports habe ich entsprechend ebenfalls auf die notwendigsten reduziert.

@hazard:
Wie bereits im Eingangspost gezeigt (Siehe Image "Live-Ansicht OPNsense:") stammt die Traffic eindeutig von der OPNsense.
Zitat: "let out anything from firewall host itself". Die Quelle ist OPNsense.

@micneu:
Ich bin auch immer neugierig.  ;)
1.
2. Im privaten Einsatz zuhause.
3. Ich setze GeoIp nur gegen das WAN ein (Sophos + OPNsense)

Auch auf die Gefahr der Wiederholung:
Es ist geplant, früher oder später die Sophos gegen OPNsense zu ersetzen.
Auf Grund des Zeitmangels und des fehlenden KnowHow's sitzt die OPNsense zum Testen hinter der Sophos.

Wie ist eigentlich die Syntax zum Einbinden von Images (height/width) ???

@pmhausen:
Danke für die Info. Ist ja interessant.
Jetzt frage ich mich nur, warum OPNsense von sich aus so eine immense Traffic (ca. 500GB / Woche) zu db-ip.com erzeugt. ???
In der Tat nutze ich in OPNsense die GeoIPLocation um diverse Länder auszusperren.

Vielen Dank für eure schnelle Rückmeldung.
Das ging ja schnell. :)

@mimugmail:
Meine Clients und Server nutzen für Backups nur die internen Cloud-Server.
Die Nutzung eines externen Cloudspeichers lehne ich auf Grund meiner Paranoia grundsätzlich ab.
Aus dem Insight geht hervor, dass OPNsense(IP) über LAN direkt mit CloudFlare kommuniziert.
(Siehe eingangs gepostetes Image "Etikett" = Live-Ansicht OPNsense / Leider muss man den Post nach rechts scrollen, um das gesamte Image zu sehen)

@lfirewall1243:
Wie bereits eingangs erwähnt, ist mein Standard-Gateway die Sophos.
DNS und DHCP werden von meinem Samba-Server bereitgestellt.
Die Live-Ansicht zeigt auch keine nennenswerte Traffic von gelegentlichen Client-Anfragen.

Mir ist das ganze ein Rätsel und eingedenk der Datenmenge sehr Beunruhigend.

Liebe OPNsense Gemeinde,

ich habe eine für mich beunruhigende Entdeckung gemacht, und brauche dringend euren Rat !

Es werden Unmengen an Daten (ca. !!! 500 GigaByte !!! pro Woche) über HTTPS(443) von meiner OPNsense-Installation an mehrere CloudFlare-Server gesendet.

Folgende CloudFlare-Server habe ich identifiziert:
104.26.4.15
104.26.5.15
172.67.75.166

Sophos-Firewall wöchentlicher Bericht:


Live-Ansicht OPNsense:


Die ersten Pakete scheinen ab Ende September an die CloudFlare-Server gesendet worden zu sein.
Möglicherweise im Zusammenhang mit einer Aktualisierung von OPNsense und deren Plugins zu dieser Zeit.

Hintergrund:
Zurzeit läuft bei mir eine Sophos-Firewall als Bollwerk gegen das Internet.
Ich wollte schon vor geraumer Zeit auf OPNsense umstellen, hatte aber zu wenig Zeit, die wesentlichen Einstellungen zum Laufen zu bringen.
Daher lief die OPNsense (ist derzeit ausgeschaltet) zu Testzwecken hinter meiner Sophos-Firewall.
Der Datenverkehr in meinem LAN läuft zu meiner fragwürdigen Beruhigung hauptsächlich verschlüsselt über SSL (Server/Client zu Server etc...) ab.
Im LAN wird ausschließlich die Sophos als Gateway verwendet.

Hat irgendjemand eine Idee, welche Daten da ausgetauscht worden sein könnten?
Leider geben sowohl die Protokolle auf OPNsense als auch Sophos keine tiefergreifenden Informationen her, um wieder sicher schlafen zu können.
Habt Ihr ähnliche Beobachtungen gemacht?
Gefühlt würde ich fast annehmen, dass da ein Sniffer im Spiel ist.

Ich danke euch schonmal vorab, für eure Ratschläge und Meinungen.

Da das mein erster Post in diesem Forum ist, bitte ich schon jetzt um Nachsicht, wenn ich ggf. bestimmte Regeln nicht eingehaltene haben sollte.

Gruß

Andreas