Messages

Hallo,

ich bräuchte wieder einmal eure Hilfe.

Ich habe auf einer OPNsense das Zabbix Proxy Plugin installiert.

Es stürzt immer wieder ab und schreibt Fehler ins Log:
executing housekeeper
[Z3005] query failed:

• database disk image is malformed [delete from proxy_history where id<31420812 and (clock<1685517066 or (id<=31420715 and clock<1670980246))]
  zabbix_proxy [73504]: [file:'db.c',line:1559] lock failed: [2] No such file or directory
  
  usw.
  
  Wenn ich das Plugin deinstalliere und neu installiere, ändert sich daran nichts. Es werden wohl die Daten nicht entfernt.
  
  Wie kann ich also das Plugin inkl. seiner Daten entfernen, damit ich es komplett neu installieren kann?
  
  Vielen Dank!
  
  Thomas.
  

Hallo Franco,

ich dachte mir schon dass es nicht so einfach ist sonst hättet ihr es sicher schon gemacht.

Ich wollte nur auch auf Nummer sicher gehen dass es kein Konfigurationsfehler ist bzw. eine Einstellung die man einfach könnte.

Vielen Dank für deine Antwort und eure tolle Arbeit!

Thomas

Hallo die Runde,

ich hätte einen Wunsch an das Christkind :-)

Mir ist aufgefallen dass der DHCP Dienst nicht startet wenn bei einem Interface eine falsche Konfiguration vorliegt.

Lässt sich das so regeln dass nur das falsch konfigurierte Interface betroffen ist und nicht alle Interfaces?

Vielen Dank an das Christkind :-)

Thomas

Hallo Patrick,

das klingt sehr vielversprechend.

Ich werde es gleich einmal versuchen.

Vielen Dank für deine Hilfe!

Thomas

Hallo zusammen,

ich kenne aus der ZyXEL Firewall Welt folgende Regel:

Eingehendes Interface: LAN
Ausgehendes Interface: WAN

Quell- und Ziel IP egal.

Ich würde das gerne bei der OPNsense nachbilden.

Hintergrund: Ich habe einige VLANs und möchte bei jedem VLAN eine Regel erstellen, damit es nur in das Internet darf aber nicht in die anderen VLANs. Ich kann aber beim Ziel nicht "das Internet" angeben.

So wie ich es bisher verstehe müsste ich bei jedem VLAN Block Regeln für jedes andere VLAN einrichten.

Was ist hier der eleganteste Weg das zu erreichen?

Vielen Dank für Eure Hilfe!

Thomas.

Guten Morgen Linus,

ich würde hier erst mal den Browser Cache löschen und andere Browser versuchen.

Ist die Firewall aktuell? Die kann man ja sonst per CLI auch aktualisieren.

Wenn du dich auf einer Firewall plötzlich nicht mehr anmelden kannst stellt sich die Frage ob es nicht besser ist sie komplett neu zu installieren falls es einen unbefugten Zugriff gegeben hat.

Mehr fällt mir dazu leider auch nicht ein.

Alles Gute!

Schöne Grüße,

Thomas

Hallo,

@lfirewall1243: Welche MDM Lösung verwendet ihr für diesen Zweck? Gibt es hier was einfaches günstiges das man vor allem für diesen Zweck verwendet oder braucht es hier sowas wie Intune das jeden Monat kostet?

eine Frage noch an alle: Schränkt ihr die ausgehenden Protokolle vor allem für Client PCs ein? Eigentlich sollte ja HTTP(S) ausgehend ausreichen für die meißten Fälle. Was sind da eure Erfahrungen?

Schöne Grüße,
Thomas

Hallo lfirewall1243,

vielen Dank für deine Antwort.

Dass die Client Zertifikate am HAproxy abgefragt werden war mir nicht klar. Dann hilft es natürlich um den Zugriff zum Exchange zu verhindern.

Verwendest du hier eine MDM Lösung oder verteilst du die Client-Zertifikate manuell?

Schöne Grüße,

Thomas

@pmhausen

Welche Liste(n) verwendest du da im AdGuard Home?

Ich verwende zuhause die folgenden Listen:

https://abp.oisd.nl/ Stellt funktion über Sicherheit, daher praktisch keine False Positives.
https://filters.adtidy.org/extension/chromium/filters/6.txt Die German Blocklist
und die AdGuard DNS filter Liste

Vielen Dank für deine Mithilfe!

Schöne Grüße,

Thomas

Hallo lfirewall1243,

vielen Dank für deine Antwort.

Das mit den DNS Abfragen ist mir klar. Dafür gibt es ja die Regel, die den DNS Verkehr auf den lokalen DNS umleitet. Das sollte soweit dann schon passen.

Die Idee mit CloudFlare habe ich eher wieder verworfen. Mir hätte da vor allem die Idee mit der WAF gefallen um den Exchange oder die NextCloud zu schützen. Eingehender Verkehr zu diesen Diensten wäre dann nur von CloudFlare möglich gewesen.

Das Thema IDS/IPS werde ich mir vielleicht noch einmal anschauen. Mich haben vor allem die Komplexität und die kontroversen Meinungen bisher davon abgehalten näher in die Materie einzusteigen.

Die Idee, dass ein Proxy oder eine Firewall eine HTTPS Verbindung öffnet und neu verpackt finde ich nicht gut. Wird das denn hier von den Experten empfohlen? Abgesehen vom Datenschutz gibt es dann auch noch Probleme mit den Zertifikaten und diversen Anwendungen. Da vertraue ich lieber auf meinen Client-basierten Virenscanner (es sei denn natürlich es wird mir hier explizit anders empfohlen, da vertraue ich natürlich den Experten!).

Wenn du schreibst, der Exchange ist durch VPN ODER Client Zertifikate abgesichert hilft dir das aber nicht bei Sicherheitsproblemen aufgrund von Software-Bugs.
Die NextCloud habe ich auf immer in einer DMZ eingerichtet hinter einem HAProxy.
Nur die IDS/IPS unterscheidet mich noch von der Experten-Konfiguration.

Vielen, Vielen Dank dass du auch Teile deiner Konfiguration geteilt hast.

Schöne Grüße,

Thomas

Ich glaube ich muss meinen Thread wieder zurückerobern :-)

@pmhausen

Ich verstehe deine Datenschutz-Bedenken schon. Ich nehme aber einfach mal an, dass Quad9 mit Sitz in der Schweiz in Kooperation mit Switch die sich beide die höchsten Datenschutzregeln auf die Fahnen schreiben einigermaßen ok sein sollten. Vielleicht bin ich da aber auch zu naiv.

Du verwendest also Blocklists. Dürfte ich Fragen welche das sind (FireHOL 1 & 3 verwende ich ja schon)? Vielleicht kann ich mein Standard-Setup ja darum erweitern.

Vielen Dank für deine Bemühungen!

Schöne Grüße,

Thomas

Hallo pmhausen,

vielen Dank für deine schnelle Antwort.

Wir verwenden Quad9 als Sicherheits-DNS. Er sollte davor schützen, dass Malware die im Netzwerk ist, keine DNS Abfragen zu Malware Seiten auflösen kann.

Lt. Quad9 ist das die Hauptfunktion.

Bin ich hier falsch bzw. funktioniert das nicht oder ist überflüssig?

Ich dachte mir bisher immer das wäre ein gutes Sicherheits-Plus  :(

Vielen Dank,

Thomas.

Hallo,

nachdem wir seit rund einem Jahr die OPNsense bei uns und vermehrt auch bei Kunden einsetzen habe ich mir diese Woche einmal Gedanken darüber gemacht ob noch alles am empfohlenen Stand ist und was man besser machen könnte und hätte gerne eure Meinung dazu.

Unser Standard Setup nutzt die FireHOL-1 eingehend und FireHOL-3 ausgehend.
Dienste hinter der Firewall sind vor allem Exchange und NextCloud. Die versuchen wir über den HAproxy zu schützen und erlauben den Zugriff nur aus notwendigen Ländern und nutzen dafür den MaxMind Dienst.

Als VPN nutzen wir OpenVPN und Viscosity Clients.

Teilweise nutzen wir auch das AdGuard home Plugin von mimugmail mit der abp.oisd.nl Liste.

Derzeit denke ich über ZenArmor nach. Wie denkt ihr darüber? Bietet es zusätzliche Sicherheit für mein Standard Setup dass die €30-50 pro Monat rechtfertigt?

Gerade eingefallen ist mir Cloudflare. Wie denkt ihr darüber? Wie es aussieht könnte ich die Exchange Server und NextCloud Instanzen recht gut schützen damit (für € 20 pro Monat). Das erscheint mir sinnvoll wenn der Schutz gut ist (für alle HTTPS basierten Dienste hinter der Firewall).

IDS/IPS haben wir nicht im Einsatz da es recht kompliziert erscheint und der Einsatz auch hier im Forum kontrovers diskutiert wird.

Eingehende und Ausgehende E-Mails gehen bei uns übrigens durch die TrendMicro Cloud als Spam und Virenschutz. Eingehend Port 25 ist nur von dort möglich.

Einen Proxy (mit ClamAV) haben wir nicht im Einsatz. Würde das für normalen Webverkehr ein wesentliches Sicherheits-Plus bedeuten?

Als externe DNS nutzen wir Quad9.

So, das war jetzt mal unser Setup. Wie denkt ihr darüber und was würdet ihr besser machen? Eingehende Verbindungen mit VPN abzusichern ist mir bekannt und wird überlegt, der Cloudflare Schutz scheint mir aber auch eine gute Option.

Vielen, vielen Dank für eure Zeit das alles zu lesen und mir eure Meinung mitzuteilen.

Schöne Grüße,

Thomas.

Hallo vpnuser & alle,

vielen Dank für deine Erläuterungen.

Ich habe es am Android Telefon mit dem Client von Arne Schwabe versucht und es lief auf Anhieb problemlos.

Ich habe dann auf meinem Test-Windows Tablet den OpenVPN Client deinstalliert und den Viscosity Client installiert => Lief auf Anhieb problemlos.

Also liegt es wohl am OpenVPN Client.

Was verwendet die Community hier bevorzugt?
In der OPNsense Doku wird ja der Viscosity Client empfohlen.

Ich suche EINE Lösung die möglichst problemlos auf den Kundengeräten läuft mit verschiedenen ISPs und dergleichen. Ist der Viscosity Client hier sein Geld wert?

Was würdet ihr hier empfehlen?

Vielen Dank!

Thomas

Hallo vpnuser,

vielen Dank für deine Antwort.
Ich habe den Wert am LAN Interface der Firewall geändert.
Am Verhalten hat sich aber nichts geändert.

Thomas