Messages

Hallo zusammen!

Ich würde genre meine OPNSense von 25.7.11_9 auf die aktuelle 26.1 updaten weiß nicht so richtig, wie ich es am Sichersten mache?

Ich habe mir eben zunächst einen Snapshot gezogen und musste dabei auch feststellen, dass ich noch ein paar alte Snapshots "rumliegen" habe.
Die können doch vermutlich weg, weil ich sie nicht mehr brauchen, oder?

Macht ihr Updates eher über die WEB-GUI, oder eher über SSH?

Ich bin für schnells Tipps dankbar :)

Hallo zusammen!

Ich habe einen Transparenten Squid-Proxy im LAN laufen und mir ein MGMT-Netz aufgebaut, in welchem der iRMC von meinem Fujitsu-Server hängt.

Wenn ich nun über meinen Browser mich auf die 'http://192.168.10.2/login'; (die iRMC vom Server) verbinde, bekomm ich zwar die Landing-Page angezeigt und werde aufgefordert, mich mit 'admin' + 'PW' anzumelden, jedoch lade ich nach kurzem Laden wieder auf selbiger Landing-Page.

Im Access-Log vom Squid sehe ich ein 'TCP_MISS/401 Fehler'. Google meint, ich muss in der 'cache_peer' das 'Login=PASS' setzen: https://debianforum.de/forum/viewtopic.php?t=155480

Wie kann ich das denn in der Squid-GUI auf der OPNSense machen?

Habe schon unter 'Forward Proxy' --> 'Access Control List' unter 'Whitelist' und unter 'Unrestricted IP addresses' die IP reingenommen (siehe Anhang).

Leider hat das nichts gebracht :/.

Ich hoffe, ihr könnt mir helfen.

Prinzipiell nie abgeneigt. Was wäre denn dann der Vorschlag für ne Eltern-Runde von Tag/Uhrzeit her?

Ich werf' jetzt einfach mal (so wie es ja jetzt auch schon ist) immer jeden zweiten Freitag ab 21 Uhr in den Raum :)...
Ich würde dann auch ein bischen Werbung im Kollegen-Kreis machen, dass man ein paar mehr Leute hätte :)....

Ja - gleiche Hardware meinte ich. Aber hat sich ja dann jetzt mehr oder weniger erübrigt.

Muss mir dann wohl doch neue Hardware anschaffen für die OPNSense -

Ich kann dir für den Gedankengang, dass du dir neue Hardware anschaffst z.B. ein M720q empfehlen, welchen man mittlerweise für relativ schmales Geld bekommt (siehe https://smallformfactor.net/forum/threads/lenovo-m720q-tiny-router-firewall-build-with-aftermarket-4-port-nic.14793/).
Es ist halt davon abhängig, was du mit der OPNSense alles so machen willst :)....

oder ich lagere den Controller dann doch aus. Muss ich noch schauen jetzt.

Läuft der Controller denn gut auf der OPNSense - oder betreibt man den lieber doch separat?

Ich hab den auf nem Raspberry Pi 4 bzw. 5 laufen, siehe z.B.:

- https://community.ui.com/questions/Step-By-Step-Tutorial-Guide-Raspberry-Pi-with-UniFi-Controller-and-Pi-hole-from-scratch-headless/e8a24143-bfb8-4a61-973d-0b55320101dc

- bzw. https://pimylifeup.com/rasberry-pi-unifi/

Aber so wie @meyergru das vorgeschlagen hat, werde ich das vermutlich auch auf lange Frist gesehen machen, weil ich gerade mein Home-LAB / Serverschrank mit Proxmox plane und da darf sowas sehr gerne laufen :)

Ich wäre da froh drum, wenn ich ein wenig Feedback hätte, wer wie was wo wann noch möchte.

Was haltet ihr denn von einer "Papa-Runde" und wenn man vielleicht mal 1 - 2 Termine raussucht, wo man das mal testweise anbieten könnte :)?

Dann machen wir da doch 2025 mal ein kleines Projekt draus, da ggf. breitere "Öffnungszeiten" zu finden, wir sind da ja nicht abgeneigt mehr Leute einzufangen ;)

Das wäre super und ich kann dahingehend auch sehr gerne unterstützen, wenn gewollt (z.B. die Bar für eine "Papa-Runde" später nochmal aufschließen?).

Überlegt euch doch bitte mal, was ihr von so einem kleinen Projekt haltet :).
Derweil mache ich mal weiterhin Werbung für die 'Netzwerk, Security & Firewall Usergroup' :)

Hallo zusammen!

Ich habe nun mittlerweile meine "Multi-WAN Setup mittels OPNSense + angeschlossenem OpenWRT + LTE-Stick" (siehe Multi-WAN für Failover mit OpenWRT Router ) soweit zum laufen bekommen, dass ich den Failover zwar machen kann, aber leider bekomme ich dann keine Internetseiten mehr aufgelöst.

Meine Vermutung ist, dass ich es hier DNS-Probleme und Gateway-Probleme gibt. Ich habe mir  bei der Einrichtung nach der Anleitung AdGuard auf der OPNSense installiert und wiederum mein Multi-WAN nach der Anleitung von Thomas-Krenn eingerichtet.

Meine LAN-Firewall-Regeln sind die Angehangenen (siehe Screenshot von LAN-Regeln)


Wenn ich nun in der ersten LAN-Regeln (der Debugging-Regel 'DEBUG: Durchzug in der Firewall :)' das Gateway auf mein Group-GW 'WAN_GW_Group' ändere und das eigentlich WAN-Kabel ziehe (also einen Failover provoziere), funktioniert weder DNS (ich bekomme z.B. 'heise.de' nicht angepingt), noch komme ich z.B. auf die Web-UI (http://192.168.2.1/cgi-bin/luci/) von der OpenWRT...

Ich habe zudem unter 'System' --> 'Settings' --> 'General' denk Punkt 'Gateway switching' angehakt (siehe https://www.reddit.com/r/opnsense/comments/1dy2k4d/any_help_getting_opnsense_running_with_adguard_on/)

Meine Idee war zudem, im 'ISC DHCPv4' für das LAN nicht nur die Sense (192.168.1.1) als DNS einzutragen, sonder zusätzlich die OpenWRT (192.168.2.1) dort einzutragen.
Aber ich vermute, dass bei einem Failover die OpenWRT ja die ganzen Netze von der OPNSense nicht kennt und ich daher z.B. nicht auf Sachen im normalen LAN (192.168.1.0/24) komme....

Ich hoffe, ihr habt ein paar Tipps für mich, um mein Setup zum Laufen zu bekommen :)

Der Termin heißt ja nicht, dass man um 17Uhr kommen muss, sondern dass ab dann jemand in der Bar ist um aufzuschließen. :)
21h ist ein später Versuch, aber manches Mal geht es durchaus so lange. Es ist ja open end, da kann man also durchaus auch später noch jemand antreffen.

Aber vllt. gibts auch mal spontan genug zusammen für eine spät-abendliche Runde.

Alles gut, das hatte ich auch so verstanden, dass um 17 Uhr jemand 'die Bar aufschließt' :)...
Ich dachte nur, ob es auch eine Möglichkeit gibt, mal einen späteren Termin zu finden, weil's vielleicht mehrere Papas gibt, bei denen "der früher Termin nicht so passt".

Aber ich schau mal, dass ich beim nächsten Termin Abends einfach mal reinschaue und hoffe, dass vielleicht noch jemand da ist :)

Hallo zusammen!

Zunächst einmal vielen vielen Dank für die Rückmeldungen :)!

Dieser OpenWRT ist ja aus Sicht der OPNsense nichts weiter als ein Gateway, angenommen, dass er als Router fertig konfiguriert ist. Da gibt es nicht Spezielles zu beachten.

Schließe ihn an und konfiguriere ihn in OPNsense als Upstream Gateway, aber nicht default, und dann eben die Gateway Gruppe fürs Failover entsprechend der Anleitung.

Ich habe nun versucht, den OpenWRT-Router als Upstream Gateway zu konfigurieren, jedoch kommt er bei mir nicht in den Status "Online" (siehe Anhang), obwohl er über 'Interfaces' --> 'Diagnostics' --> 'Ping' von der Sense aus erreichbar ist.
Der OpenWRT-Router ist allerdings auch nicht direkt an die Sense per Crossover-Kabel oder so angeschlossen, sondern über einen Switch......

Jemand ne Idee, was ich machen kann, um den OpenWRT-Router als Upstream Gateway auch auf "Online" zu bekommen?

So nachdem die Seite kurzzeitig wegen Umzug weg war, aktuelle/nächste Termine für den virtuellen Stammtisch wie gewohnt wieder auf

nsfw.pub

verfügbar. Morgen (13.12.) ist ebenfalls wieder Termin :)

Ich wäre sehr sehr gerne mal dabei, um micht mit euch einmal auszutauschen :)!
Allerdings ist mir 17 Uhr zugegebenermaßen als Papa ein wenig zu "früh" am Abend, wenn man noch Kinder ins Bett bringen will etc.
Gibt's auch mal einen späteren Termin (ab ca. 21 Uhr vielleicht? )

Ich verstehe Dein Setup nicht so ganz.

Du hast NAT komplett auf ,,manuell" stehen. Ist in der vorgeschalteten Fritzbox die korrekte IPv4-Route für die Opnsense eingetragen?[/li]

Ich habe für die Fritzbox die Route wie im Anhang gezeigt (Statische_Route_auf_Fritzbox.jpg) angelegt.

Checkpoint Mobile hat mit dem Squid nichts zu tun. Wofür möchtest Du den Squid einsetzen?[/li][/list]

Nein, du hast Recht, dass der Squid nichts mit dem Checkpoint Mobile zu tun hat. Den Squid setzt ich als Transparenter Proxy ein und hab den so wie hier beschrieben konfiguriert: https://docs.opnsense.org/manual/how-tos/proxytransparent.html[/list]

Zudem habe ich die Firewall-Regeln zunächst auch einmal auf 'default' zurückgesetzt:

Siehe 'Firewall_LAN_Rules.jpg'

Leider kann ich gerade nicht testen, weil die PKI-Abfrage vom Checkpoint Mobile anscheinend nicht über den Squid drüberkommt, weil meine privaten (von der Sense ausgestellten) Certs nicht richtig übernommen werden. Ich muss mir das nochmal angucken....

Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:

• TCP/443
• UDP/443

Cool, danke dir für die Info! Dann würde ich nach hoffentlich erfolgreicher Migration für mein Arbeitsnotebook Firewall-Regeln mit 'TCP/443' und 'UDP/443' erstellen.

BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:

• Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
• Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück

Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose

Vielen vielen Dank dir für's Reviewen von meinem Thread!
Ich hab das mal folgermaßen abgeändert (bzw. die NAT-Regel erstmal deaktiviert):

Siehe 'Firewall_Outbound_NAT.jpg'

Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.

Ja, aus dem Gesichtspunkt heraus kann ich die Sichtweise von unserer Security-Abteilung natürlich auch nachvollziehen.

Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?

Dagegen spricht natürlich nichts bis auf das Problem, dass ich nicht weiß, wir ich das in der Sense mache 😇🥴...

Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.

Das wäre natürlich sehr sehr cool 😍

Hallo zusammen!

Ich habe einen Vodafone Kabelanschluss und leider mit diesem immer mal wieder Probleme, dass das Internet nicht sauber funktioniert.
Da ich darüber auch von zu Hause aus arbeite, bin ich auf einen stabilen Internetanschluss angewiesen und habe mir daher überlegt, ein "Failover-Setup mittels Multi-WAN" zu realisieren, um bei Internetproblemen über den Kabelanschluss ggf. einen Schwenk auf einen Orange-Pi Zero (v1.5) mit OpenWRT + LTE-Stick durchzuführen und somit weiterarbeiten zu können.

Was muss ich dafür konfigurieren? Hat jemand das schon mit einem OpenWRT eingerichtet?

Über Anregungen bin ich euch dankbar :)