Messages

[Action]

Ciao,
scrivo perchè tra quello che ho trovato qui e quello che ho trovato in internet mi sono perso.
Io ho delle LAN e una DMZ e ovviamente la rete WAN.
Quello che desidero è che dalle LAN il traffico possa andare ovunque mentre dalla DMZ solo su internet.
Ultimo punto il DNS principale è in DMZ (non so se serve la notizia)
Dalle varie LAN funziona tutto ma bloccare la DMZ mi da alcuni problemi.
Ultimo punto OpnSense deve chiamare un server in DMZ.

La mia idea è quella di mettere delle regole di allow (pass) per far andare il traffico dove deve andare e per ultima una regola di deny (reject) per bloccare tutto quello che rimane.

Io ho provato a fare:

Action	Quick	Interface	Direction	TCP/Ip Version	Protocoll	Src Invert	Source	Src Port	Dest Invert	Destination	Dest Port
Pass	Yes	DmZ	in	IPv4+IPv6	any		This Firewall		DmZ net	any
Pass	Yes	DmZ	in	IPv4+IPv6	any		DmZ net			WAN Address	any
Reject	Yes	DmZ	in	IPv4+IPv6	any		DmZ net		Yes	WAN Address	any

1) Per far accedere il firewall alla DMZ
2) Per far accedere tutti i Server a Internet
3) Per bloccare l'accesso di a tutte le reti eccetto quella Internet

Cosa ne pensate di queste regole?

Bye

Ciao,
scusate ho trovato

Token + pw

Bye
Saul

Ciao,
ho configurato la VPN come da guida https://docs.opnsense.org/manual/how-tos/sslvpn_client.html.
Sono andato a fare il test e metto come user l'utenza con cui mi collego all'interfaccia opnSense e come apssword OTP generato dall'authenticator di google e mi dice credenziali errate.

Ho controllato che la data e l'ora siano allineate.
Ho ricreato 3 volte sul google authenticator il codice sia con il OTP Seed (160 bit) che con QR Code.

Non riesco a capire cosa sbaglio. La password deve essere composta non soltanto dal codice generato dall'authenticator?

Ogni suggerimento è apprezzato.

Grazie
Saul

Sorry maybe my last sentence make you to understand wrong my question.

my question is whether my settings are okay or is there a better solution?

thanks
Saul

Dear All,
I have a website wordpress expose port 80 on lan
I install Lets Encrypt and HAProxy plugin on opnSense.
HAProxy forward the traffic from port 80 to my website by default except letz encrypt folder for test SSL
HAProxy Intercept https (443) request and convert them to http and forward them to my website.
I enable reflection on lan for access https and http like wan.

This system to expose web server is correct?

Because I receive a "Mix Content". WordPress continue to give me a content in http (css, js, image).

best regards
Saul

Ciao,
non ho trovato tutorial o guide per farlo, ma posso dirti la mia idea di DMZ.

La DMZ si crea nel momento che hai delle macchine che devono essere contattate da internet e per proteggere le altre macchine che invece fanno solo richieste su internet o addirittura non ne fanno.

Quindi si isola la DMZ dal resto della rete nel senso che dalla DMZ non puoi atterrare sulle altre reti locali mentre dalle reti locali puoi accedere alla DMZ.

Per realizzare questa struttura devi agire sul firewall.

Per trovare come si fa fai una ricerca nel forum e di suggerimenti come fare regole per il firewall sicuramente ne trovi tante.

bye
Saul

Ciao a tutti,
ho un dubbio su come usare opnSense.
Da fuori atterro su opnSense in https e da li vado in http sul sito finale, il mio dubbio è da dentro la rete locale come atterro sul sito?

Io ho fatto un altro reverse proxy interno con cui atterro sul sito con il nome di dominio ma in http perchè il certificato ssl è su opnSense.

Questa cosa mi genera molti problemi sul sito perchè il sito non riesce a gestire il doppio sistema di atterraggio (https e Http).

Si può gestire l'atterraggio sul sito tramite opnSense anche da dentro senza reverse proxy e in https? È il modo corretto di farlo?

grazie
Saul

Ciao,
diciamo che ho fatto tante di quelle prove da non essere certo quale abbia fatto la differenza, ma mi pare che:
1) Sbagliavo prova (ping e trace non sono sempre e solo gli strumenti migliori)
2) Sbagliavo strumento(netcat invece di curl)
3) Ho cambiato la rete interna passando da 192.168.3.0 a 192.168.100.0 e non avevo adeguato alcune settaggi del firewall.

bye

Ciao,
grazie a tutti Ho risolo questo punto cioè sono riuscito a far vedere il server su una porta specifica.

Ora ho tentato lo step successivo:
Ho installato il plugin HAProxy e Let's Encypt.

Prima di installare da fuori arrivavo sulla porta 80 di opnsense al container di docker dove è montato wordpress e tutto funzionava.
Ho messo HAproxy e dopo un bel po di tentativi sono riuscito a mettete un funzione 2 siti:
1) http://www.mio.sito
2) http://cloud.miosito

Il primo come default del public service e l'altro come rule e anche qui funzionava.

Leggendo su internet sconsigliano di mettere https direttamente su wordpress a favore della gestione del medesimo di HAProxy, quindi ho lasciato che il mio wordpress conoscesse solo l'http.

Ho messo let's Encrypt sono riuscito ad ottenere il certificato in ambiente di test e qui iniziano i primi problemi.

Senza cambiare nient'altro ho messo l'ambiente di produzione e rinviato la richiesta di certificato ma non mi sembra che il plugin rifaccia la richiesta forse perchè trova già un certificato valido.
Come capisco se il certificato è di produzione o di test?

Ma veniamo a come ho cercato di impostare il tutto.
Ho aperto 2 porte sul firewall 80 e 443 per ricevere entrambi i tipi di traffico e redirette al Haproxy per l'instradamento.
HAproxy come instradamento non è cambiato da quando andava a eccezione del public service che ho abilitato "Enable SSL offloading" e messo in Certificates il nuovo certificato di let's encrypt.

La porta 80 sembra non avere risposta dal firewall ora.
La porte 443 risponde ma wordpress mi restituisce la pagnia ma tutti i contenuti (es immagini, css e js) arrivano in http e vengono bloccati.
In wp-config.php di wordpress ha un sistema per capire dalla chiamata se è http o https e dovrebbe rispondere di conseguenza ma sembra non farlo.

Ho saltato un po' di info perchè sono tante se servono più dettagli ditemi cosa volete sapere.

bye

Ciao,
per quanto riguarda nat o altro ho chiesto e non ci sono blocchi sul mio indirizzo pubblico.
Per il ping ho scoperto che bisognava creare una regola nel firewall ora riesco a pingarlo.
Ma il trace non arriva al mio indirizzo pubblico finisce con tanti asterischi.

Ho riprovato da fuori a connettermi con chrome:
- http://www.mio.dominio penso che venga rediretto a https://www.mio.dominio
- http://www.mio.dominio:8081
- http://www.mio.dominio:8082
tutte le richieste vanno in timeout.

Se uso netcat (nc) da mac:
nc -v www.mio.dominio va in timeout
nc -v www.mio.dominio:8081 -> Mi risponde Apache in un indirizzo che non conosco
nc -v www.mio.dominio:8082 -> Mi risponde un altro server http senza identificarsi

Io penso che persistono problemi di routing.

Bye

Ciao,
il router in oggetto non dovrebbe bloccare niente. Io ho chiesto ip pubblico e mi avrebbero dovuto parlare di eventuali blocchi sulle porte.

Della DMZ ci ho già pensato sto aspettando una scheda con 3 porte di rete.

Ma prima devo riuscire a far funzionare un sito.

Non hanno ancora lavorato il mio ticket.

bye

Ciao,
scusa mi sembrava ovvio ma in effetti ci sono tanti contesti.

arriva la fibra ed entra nel loro router ed esce un cavo ethernet.

in questo momento ho un disservizio non pinga più l'indirizzo pubblico, ho già aperto un ticket.

LAN   TCP      *   *   LAN address   443            *         *   Anti-Lockout Rule   
WAN   UDP      *   *   WAN address   88            Computer1     88         Game      
WAN   UDP      *   *   WAN address   500 (ISAKMP)      Computer1     500 (ISAKMP)   Game      
WAN   TCP/UDP   *   *   WAN address   3074            Computer1     3074         Game      
WAN   TCP/UDP   *   *   WAN address   3544 (Teredo)      Computer1     3544 (Teredo)   Game
WAN   TCP/UDP   *   *   WAN address   4500 (IPsec NAT-T)   Computer1     4500 (IPsec NAT-T)   Game
WAN   UDP      *   *   WAN address   4380            Computer1     4380         Game
WAN   UDP      *   *   WAN address   27000 - 27031      Computer1     27000 - 27031   Game
WAN   TCP      *   *   WAN address   27015 - 27030      Computer1     27015 - 27030   Game
WAN   UDP      *   *   WAN address   27036         Computer1     27036      Game
WAN   TCP      *   *   WAN address   27036 - 27037      Computer1     27036 - 27037   Game
WAN   TCP      *   *   WAN address   443 (HTTPS)      docker        443 (HTTPS)   Web 443      
WAN   TCP      *   *   WAN address   80 (HTTP)         docker        80 (HTTP)      Site 80      
WAN   TCP      *   *   WAN address   8081            docker        8089         Site 80      
WAN   TCP      *   *   WAN address   8082            127.0.0.1      8080         HAProxy      
WAN   TCP/UDP   *   *   WAN address   44700 - 44899      Computer1     44700 - 44899   Game2      
WAN   TCP      *   *   WAN address   25 (SMTP)         docker        25 (SMTP)         
WAN   TCP      *   *   WAN address   465 (SMTP/S)      docker        465 (SMTP/S)      
WAN   TCP      *   *   WAN address   587 (SUBMISSION)   docker        587 (SUBMISSION)

Alcune regole non sono ancora arrivato a capire se sono giuste, tipo quelle sulla posta.

bye

[System: Settings: Administration]

Ciao,
allora in System: Settings: Administration:
-  Protocol: Https
- HTTP Redirect    [X] Disable web GUI redirect rule
- TCP port: 443
- Listen Interfaces: LAN

Firewall - Port Forward
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 8081) : (Redirect: Server Address Port: 80)
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 80) : (Redirect: Server Address Port: 80)
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 443) : (Redirect: Server Address Port: 443)

Il ping punta all'ip corretto
Ho una connessione in fibra, quindi niente modem.

Non arrivo con nessun metodo:
- http://dominio:8081/
- htto://dominio/

bye

thx

Hi All,
My notebook macbook have cable connection and wireless connection.
192.168.1.2 MyNotebook (Cable Port)
192.168.1.3 MyNotebook (WiFi Port)

I want to set "Deny unknown clients"
I can make static only one ip with hostname.
the second with the same host don't let me do.
I don't think remove host in the second static is a good solution.

Any other suggestion?

thx
Saul