Messages

1

German - Deutsch / Re: Korrekte Einstellung für IPv6 WAN Zugriff auf lokalen Reverse Proxy

« on: April 24, 2024, 11:11:06 am »

Ich bin jetzt kein großer Freund von stateful DHCPv6, ich benutze immer "Unmanaged". So lange es funktioniert, sollte das aber egal sein .

Danke, "Unmanaged" funktioniert auch. Hatte gestern nur das Gefühl, dass die Aktualisierung der "statischen" IPv6 Adresse über den Alias ein bisschen gehakelt hat. Mit Assisted kam sie sofort.

2

German - Deutsch / Korrekte Einstellung für IPv6 WAN Zugriff auf lokalen Reverse Proxy

« on: April 23, 2024, 07:50:25 pm »

Hallo zusammen,

ich bin noch IPv6-Novize, würde aber gerne meinen lokalen Reverse Proxy (192.168.1.100) auch per IPv6 erreichen wollen.

Die groben Schritte waren:

1. DHCP v6 Server aktivieren
2. Range setzen
3. "Statischen" Eintrag festlegen (vlt. auch gar nicht notwendig)
4. Alias für "Dynamic IPv6 Host" angelegt
5. Router Advertisment angepasst
6. WAN Regeln auf den Alias verweisen lassen.


Fragen:
Passt das Router Advertisment? Muss es "Assisted" und Priority "High" sein?
Ist irgendwas falsch, kann man besser/anders machen?


Ich habe noch ein paar Bilder von den Änderungen angehängt.
Im Endeffekt funktioniert es. Diese ganzen IPv6-IMCP Sachen mit Ping etc. funktionieren noch nicht, aber ich kann über IPv6 connecten.

Danke und viele Grüße!!

3

German - Deutsch / Re: Gäste WLAN ohne VLAN

« on: April 15, 2024, 06:09:58 pm »

Soweit ich das verstanden habe, bieten die Omada-Geräte nur eine zweite SSID, bei der der Zugriff auf RFC1918-IPs verboten wird. Dadurch können die dort angemeldeten Clients nicht auf das LAN zugreifen, sondern nur auf Internet-Adressen. Keine Ahnung, wie das mit IPv6 funktionieren soll...

Stimmt, habe es gerade getestet. Das Gerät bekommt eine DHCP-Adresse im normalen 192.168.1.0/24 Bereich der OpnSense, kann aber auf kein Gerät zugreifen. So solls sein! Danke!

4

German - Deutsch / Gäste WLAN ohne VLAN

« on: April 15, 2024, 02:53:56 pm »

Hallo zusammen,

an meiner OpnSense hängt über einen unmanaged Switch ein Omada WLAN-Netzwerk bestehend aus drei EAP650.
Ich kann in Omada Gäste-Netzwerke erstellen, aber das würde dann vom Omada-Controller gemanagt werden.

Ich will aber DHCP/Firewall über OpnSense laufen lassen.

Gibt es irgendwie die Möglichkeit, das extra WLAN als Gäste-WLAN zu deklarieren, ohne VLANs zu verwenden?
Vlt mit dem Captive Portal?

Danke und viele Grüße

5

German - Deutsch / Re: Telekom - Glasfaser

« on: April 15, 2024, 11:46:47 am »

123456789012#123456789012#0004@t-online.de
123456789012123456789012#0004@t-online.de
1234567890121234567890120004@t-online.de

kann das Kennwort das "standard" Kennwort aus dem Zugangsdaten Brief sein oder muss dafür extra eins in der App erstellt werden?

Ohne Gartenzaun ....

Du brauchst halt ein VLAN mit Tag 7. Der Parent muss das WAN interface sein.
unter Point-to-Point brauchst du dann ein neues interface und du musst beide Interfaces verlinken.

6

Intrusion Detection and Prevention / Re: FireHOL Block List ( Botnets, Attacks, Malware....)

« on: November 21, 2021, 07:35:50 pm »

Do you mind to explain how you do that ?

I do have an alias with all my lists, but no idea how/where to insert the Regex, thanks.

Unfortunately you can't insert the regex in opnsense. I use a bash script to merge several ipset lists on another server. in opnsense I only set the http address to the processed and clean list.

with this example you can remove the bogons from a larger list:

Code: [Select]

#!/bin/bash

BLOCKLIST="/tmp/ipsets.txt"
BLOCKLIST_TMP="/tmp/ipsets_tmp.txt"
BOGONS="/tmp/bogons.txt"

BOGON_REGEX="\b(127\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|0?10\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?1[6-9]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|0?0\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?2[0-9]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?3[01]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|192\.168\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|169\.254\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|::1|[fF][cCdD][0-9a-fA-F]{2}(?:[:][0-9a-fA-F]{0,4}){0,7}|[fF][eE][89aAbB][0-9a-fA-F](?:[:][0-9a-fA-F]{0,4}){0,7})(?:\/([789]|1?[0-9]{2}))?\b"


# Firehol
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset >"$BLOCKLIST"
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level2.netset >>"$BLOCKLIST"
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset >>"$BLOCKLIST"
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_abusers_1d.netset >>"$BLOCKLIST"

# Spamhaus
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/spamhaus_drop.netset >>"$BLOCKLIST"
curl -k https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/spamhaus_edrop.netset >>"$BLOCKLIST"

# ...


# Remove BOGON IPs
cat "$BLOCKLIST" | sort | uniq > "$BLOCKLIST_TMP" && mv "$BLOCKLIST_TMP" "$BLOCKLIST"
cat "$BLOCKLIST" | grep -Po "$BOGON_REGEX" | sort | uniq > "$BOGONS"
cat "$BOGONS"
comm -23 "$BLOCKLIST" "$BOGONS" > "$BLOCKLIST_TMP" && mv "$BLOCKLIST_TMP" "$BLOCKLIST"

7

Intrusion Detection and Prevention / Re: FireHOL Block List ( Botnets, Attacks, Malware....)

« on: November 21, 2021, 11:27:50 am »

Level 2 contain 192.168.0.0/24 most VPN needs it to allow the tunnel oer.
if you use it you may run into problems.
i am using just level 3 and it been working fine for long.

Yes, lot's of lists contain bogons. I combine all lists into one and remove all bogons afterwards. You can get all bogons (IPv4 and IPv6) with this regex:

Code: [Select]

BOGON_REGEX="\b(127\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|0?10\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?1[6-9]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|0?0\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?2[0-9]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|172\.0?3[01]\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|192\.168\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|169\.254\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|::1|[fF][cCdD][0-9a-fA-F]{2}(?:[:][0-9a-fA-F]{0,4}){0,7}|[fF][eE][89aAbB][0-9a-fA-F](?:[:][0-9a-fA-F]{0,4}){0,7})(?:\/([789]|1?[0-9]{2}))?\b"
cat "$BLOCKLIST" | grep -Po "$BOGON_REGEX"


8

Intrusion Detection and Prevention / Re: FireHOL Block List ( Botnets, Attacks, Malware....)

« on: November 01, 2021, 12:01:43 pm »

But the Firewall see the packet first at LAN inbound direction

thanks, that makes sense.

Here are the rules:

On LAN:
Action: Block
Interface LAN
Direction: in
Protocol: any
Source LAN net
Destination: My Firewall Alias


On WAN:
Action: Block
Interface: WAN
Direction: in
Protocol: Any
Source: My Firewall Alias
Destination: Any

9

Intrusion Detection and Prevention / Re: FireHOL Block List ( Botnets, Attacks, Malware....)

« on: November 01, 2021, 10:17:13 am »

1) block is better since with reject the Firewall has to generate a packet (cost cpu cycle)
2)+3) Interface LAN, Source LAN net, direction ALWAYS *IN*, never use out ..

Why is it always IN? I thought you would put OUT here to block the outgoing LAN connections to these IPs!?

10

21.7 Legacy Series / Question about Tuneables (*.igb.*) and sysctl

« on: October 24, 2021, 10:17:39 am »

Hello all,

I have modified my /boot/loader.conf.local and added the following content:

Code: [Select]

hw.igb.rx_process_limit="-1"
hw.igb.tx_process_limit="-1"
legal.intel_igb.license_ack="1"

dev.igb.0.fc="0"
dev.igb.1.fc="0"
dev.igb.2.fc="0"
dev.igb.3.fc="0"
After the reboot, I wanted to check if the variables were set correctly. However, a

Code: [Select]

sysctl -a | grep igb came up empty.

If I want to set them manually:

Code: [Select]

sysctl -w dev.igb.0.fc=0
sysctl: unknown oid 'dev.igb.0.fc'

Have these tuneables been removed?
Is there any other way to disable hardware flow control?

11

German - Deutsch / Re: Grundüberlegungen zur Netzwerkinfrastruktur

« on: September 21, 2021, 10:05:17 am »

Danke! Ich glaube das macht am meisten Sinn:


Carrier
  --> FB1 (Modem, VOIP, Backup WLAN)
    --> OS (Firewall, DHCP, DNS)
      --> FB2 (AP-Mode WIFI Mesh) --> WIFI Clients
      --> Switches --> Ethernet Clients

12

German - Deutsch / Grundüberlegungen zur Netzwerkinfrastruktur

« on: September 21, 2021, 08:43:56 am »

Hallo zusammen,

ich habe eine OPNsense Installation auf einem ThinClient Futro S920 (4GB RAM, 8 GB SSD). Aktuell plane ich die Installation und Netzwerkinfrastruktur, um die Firewall am besten in mein Netzwerk zu integrieren.

Ausgangszustand:
Hausanschluss --> Fritzbox (Modem, Router, VOIP, WLAN) --> Clients

Zielzustand:
Hausanschluss --> Modem --> Firewall --> Fritzbox (VOIP, WLAN) --> Clients

VOIP sollte weiterhin möglich sein. Hier muss ich wsl. nur die Ports durch die Firewall an die Fritzbox weiter leiten? Das Fritzbox WLAN würde ich vorerst behalten, da das AVM Mesh WLAN recht stabil arbeitet.
Momentan haben wir VDSL 100, ab nächstem Jahr Gigabit Glasfaser. Somit wäre es mMn am praktischsten, wenn ich nur das Modem vor der Firewall austauschen müsste.

... oder:
Fritzbox 1 (Modem, VOIP, Backup WLAN) --> Firewall --> Fritzbox 2 (WLAN), Switches --> Clients

Hier war die Grundüberlegung, das VOIP funktionsfähig vor der Firewall zu halten, keine Ports durchschleifen zu müssen und noch eine Backup Internetleitung zu haben, falls die FW ausfällt. OPNsense bekommt dann "nur" eine DHCP IP von der Fritzbox.

Besteht die Möglichkeit, dass OPNsense die DHCP Vergabe übernimmt? Ich weiß nicht, ob man in den Fritzboxen einen externen DHCP Server einstellen kann. Könnte man dann auch entsprechend VLANs erstellen?

Ich bin dankbar für jeden Hinweis.

Viele Grüße
Markus