Messages

1

German - Deutsch / Re: github wird von FireHOL L3 geblock - ich checks nicht?

« on: October 03, 2024, 12:41:06 am »

Ich hatte dann einfach eine Allow_Hosts Aliase erstellt und die IPs und Domains von Github manuell eingetragen, siehe Bild, seit dem keine Probleme mehr gehabt. Ist zwar vielleicht nicht die eleganteste Lösung, aber es funktioniert. (Siehe Anhang)

2

German - Deutsch / Re: [Problem] Regel für VPN und Telefonanlage

« on: April 21, 2024, 07:30:36 pm »

Ich hatte das mit dem sehr guten und hier auch hilfreichen PhonerLite ausprobiert (größerer Bruder wäre Phoner), bei dem man die Diagnose aktivieren und so die Kommunikation zwischen VPN Client und Telefonanlage mitlesen kann.

In diesen Headern war der Client lt. Status der Telefonanlage nicht mit seiner IP, sondern der der FW angemeldet;
Frage ist dann natürlich, wie die Telefonanlage wissen wollte, auf welchem der x Clients sie Anfragen zustellen soll, zumindest wenn die UDP Session TTL zu groß ist
Dazu gab es hier schon Fragen/Lösung:
Man muss die FW irgendwo in den Fiirewall Advanced Settings auf "Moderate" states setzen, damit die UDP TTL länger ist.

Hallo,

danke schön für die Infos, ich werde das Testen und mir diese Konfiguration anschauen. Mittels Firewallregel kann dies nicht gelöst werden?

3

German - Deutsch / [Problem] Regel für VPN und Telefonanlage

« on: April 20, 2024, 09:32:27 pm »

Moin,

ich habe ein kleines Problem mit einer Telefonanlage und einem Softphone (Client Telefonsoftware), wenn ich mich per VPN einwähle. Sporadisch scheint es zu funktionieren, aber dann gibt es immer wieder Verbindungsabbrüche, laut Hersteller Diagnose, wurde beim Support mitgeteilt, dass Datenpakete nicht korrekt am Client ankommen.

Folgendes Szenario:

Im lokalen Netzwerk selbst funktioniert alles so weit, allerdings über das VPN kommt es noch zu Problemen.

Netze:

Opnsense:

192.168.0.1
192.168.1.1
192.168.100.1

Telefonanlage:

192.168.1.100 (Standart-Gateway 192.168.1.10)
192.168.0.100

FritzBox:

192.168.1.10

VPN-Netz:

192.168.100.0




Firewall Konfiguration:

Ich habe eine NAT Regel erstellt, von Host 192.168.100.20 (VPN-Client) auf das Netz 192.168.1.0, die Software scheint sich damit mit der Anlage verbinden zu können. Allerdings vermute ich, dass die Telefonanalage stateless ebenfalls mit dem VPN Client kommunizieren möchte?

Nun meine Frage, sollte ich für die Telefonanlage (Ansitel) eine Route ins 100 er Netz geben oder reicht eine einfache FW- oder NAT-Regel dafür? Möglicherweise sollte die Verbindung von Telefonanlage zu Client Stateless sein?

Hoffe es könnte mir jemand einen Tipp geben, Danke im Voraus!

4

German - Deutsch / Re: Ich bekomme Suricata nicht ans laufen

« on: March 07, 2024, 09:03:55 pm »

Gleiches Problem habe ich auch, seit dem letzten Update vom Mittwoch scheint es da wohl ein Problem zu geben?

Edit: Halt-Stop ... jetzt läuft der Dienst wieder, konnte Suricata wieder startet, indem ich bei Dienste einfach auf "Anwenden" unter Suricata gedrückt habe... Ist jetzt wieder die Version 7 ... ich hoffe das es dieses mal keine größeren Probleme damit geben wird...

5

German - Deutsch / [PPPoE] -_- Keine Neueinwahl nach kurzzeitigen Verbindungsabbruch

« on: February 16, 2024, 11:37:18 am »

Moin,

ich habe derzeit das Problem, dass sich meine Opnsense nicht mehr via PPPoE einwählt, wenn das Modem einen Verbindungsabbruch kurzzeitigen erhält.

Ist eine Telekom Business GF Leitung, letztens gab es bei einem Verteiler in unserer Nähe ein größeres Problem. Dieses Problem wurde zwar behoben, allerdings gibt es da alle paar Tage noch kleinere Aussetzer, ich vermute, das sind noch Nachwehen von der Großstörung.

Jetzt wollte ich mal Nachfragen, ist das ein Bug von Opensense, dass sich diese nicht automatisch wieder neu connected, oder habe ich da etwas falsch konfiguriert?

Ich muss halt immer einen Neustart machen, damit es wieder läuft, das kann es doch nicht sein?

Würde mich freuen, wenn sich der Sache jemand annehmen könnte, oder mir zumindest sagt, ob ich der Problemverursacher bin, durch eine falsche Config?


Nachtrag:

Das scheint tatsächlich ein Problem bei der Telekom zu sein, wenn ich manuell das Modem abstecke und wieder anstecke, tritt dieser Fehler nicht auf und Opensense macht die Einwahl, so wie es sein sollte.

Hatte von Euch schon jemand dasselbe Problem?

6

German - Deutsch / Re: [24.1] Probleme mit Suricata -_- nach Update auf 24.1

« on: January 31, 2024, 12:48:09 pm »

Ist nicht geplant und unwahrscheinlicher als zeek (ehemals bro) integration, was selbst schon relativ unwahrscheinlich ist.


Grüsse
Franco

Schade, darf ich fragen, warum ihr euch dagegen entschieden habt?

7

German - Deutsch / Re: [24.1] Probleme mit Suricata -_- nach Update auf 24.1

« on: January 31, 2024, 11:28:37 am »

Ja, liegt an Suricata 7. Wir gehen morgen zurück auf die 6. In der Zwischenzeit: IPS aus!

Grüsse
Franco

Danke nochmals, scheint jetzt bei mir wieder zu laufen wie gewohnt mit Version 6....


@Franco

Wäre es möglich, noch snort ins Pakete-Programm mit aufzunehmen?

8

German - Deutsch / Re: [24.1] Probleme mit Suricata -_- nach Update auf 24.1

« on: January 30, 2024, 11:01:03 pm »

Ja, liegt an Suricata 7. Wir gehen morgen zurück auf die 6. In der Zwischenzeit: IPS aus!


Grüsse
Franco

Top, danke!

9

German - Deutsch / [24.1] Probleme mit Suricata -_- nach Update auf 24.1

« on: January 30, 2024, 10:25:58 pm »

Hallo,

nach dem ich nun auf 24.1 upgedatet habe, scheint es ein Problem mit Suricata zu geben. Vor dem Update hat es wunderbar funktioniert.

Jetzt scheint es so, als macht der IPS alles dicht, nach wenigen Minuten eines Neustarts. Nachdem ich Suricata deaktiviert habe, scheint alles wieder perfekt zu laufen, sprich ich komme in alle 4 LAN Netze und auch ins Internet. Mit aktivierten Suricata (und im Fehlerfall), kann ich zwar alles anpingen und auch DNS scheint zu funktionieren aber HTTP/HTTPS macht komplett dicht. Das heißt, ich komme weder auf das Web-GUI noch ins Internet noch sonst irgendwo hin via HTTP/HTTPS. Somit habe ich Suricata erstmal komplett deaktiviert, only IDS habe ich nicht getestet.

Mir fehlt gerade im Moment die Zeit für eine genauere Analyse, aber es wäre super, wenn sich das mal jemand aus dem DEV Team genauer anschauen möchte... Danke im Voraus!

10

German - Deutsch / Re: Gateway wird nicht als online angezeigt

« on: December 28, 2023, 07:18:08 pm »

Vielleicht lässt sich der Gateway nicht anpingen. Probiere mal die IP Addresse des Gateways anzupingen, von einem Client und von der Firewall selber.

Wenn das nicht geht, funktioniert auch die Gateway Überwachung nicht.

Das funktioniert, danke!

11

German - Deutsch / Gateway wird nicht als online angezeigt

« on: December 28, 2023, 01:49:41 pm »

Hallo,

irgendwie habe ich das Problem, dass bei mir der Gateway (upstream) nicht als online angezeigt wird, wenn ich dort die Gateway-Überwachung aktiviere, obwohl das Gateway funktioniert und ich darüber hinaus ins Internet geroutet werde.

Wenn ich die Überwachung deaktiviere, wird er als online markiert. Eigentlich läuft alles, aber es wäre halt schön gewesen, wenn man sich den Status der PPPoE auf dem Dashboard anzeigen lassen könnte... Vielleicht jemand von euch eine Idee, ob ich eine Einstellung übersehen habe?

12

German - Deutsch / Re: Deutsche Glasfaser - Opnsense - Proxmox VM Server nicht erreichbar! Hilfe?!

« on: November 26, 2023, 04:44:02 pm »

Nur ist die IP Adresse von außerhalb nicht erreichbar! Wo liegt das Problem? oder habe ich einen Denkfehler? Benötige ich einen zusätzlichen Proxy?

Hi,

so wirklich schlau wird aus deinen Beschreibungen niemand, denke ich. Wie sehen die Regeln genau aus, die du auf der Sense gemacht hast?

Was meinst du mit 'Nur ist die IP-Adresse von außerhalb nicht erreichbar!'

- Hast du ICMP erlaubt und einen Ping Test gemacht?
- Ist die VM korrekt konfiguriert, welches Betriebssystem, locale Firewall, läuft der Dienst?
- Wie sieht die NAT auf der Sense aus, sind die Ports richtig freigegeben?
- Was sagen die Logs von Suricata, Zenarmor, Firewall

Liefere bitte eine detaillierte Konfigurationsbeschreibung, dann könnten "Wir" vielleicht eine genauere Analyse machen, wie mein Vorredner auch schon mitteilte^^

13

Tutorials and FAQs / Deep SSL inspection [Tutorial] [Python] [Version=alpha]

« on: October 01, 2023, 05:08:01 pm »

Hello,

I've been dabbling a bit with Python and have developed a proxy environment with which traffic is first decrypted, inspected by an IPS, and then re-encrypted.

The whole scenario works by means of an SSL terminating proxy, which is connected upstream of the IPS, the downstream proxy2 independently establishes an HTTPS/SSL connection for example to a web server and transmits the data again unencrypted to proxy1.

With this configuration the data stream can be examined, I succeeded to detect Eicar which should be downloaded via HTTPS and to prevent the download automatically, by Suricata IPS.

This solution is still in alpha stage and there are still problems especially for SSL pinning, so not all websites can be accessed without further ado. Furthermore, there may be errors in the display of images, videos or other content.

Schema:




Proxy1 script:

Code: [Select]

import socket
import ssl
import threading

import subprocess
import os


IP = '0.0.0.0'
PORT = 3128

CERT_FILE = 'server.crt'
KEY_FILE = 'server.key'


PROXY2_IP = '192.168.1.212' 
PROXY2_PORT = 3128 

PROXY2_TIMEOUT = 60  # wait 60 sec.

BUFFER_SIZE = 8128

def handle_client(client_sock):
    try:

        request = client_sock.recv(BUFFER_SIZE)


        if request.startswith(b"CONNECT"):

            response = b"HTTP/1.1 200 Connection Established\r\n\r\n"
            client_sock.sendall(response)


            context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
            context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
            secured_sock = context.wrap_socket(client_sock, server_side=True)

            request = secured_sock.recv(BUFFER_SIZE)
       

            print(request)


            proxy2_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            proxy2_sock.connect((PROXY2_IP, PROXY2_PORT))
            proxy2_sock.sendall(request)


            def forward_response_to_client():
                try:
                    while True:
                        data = proxy2_sock.recv(BUFFER_SIZE)
                        if not data:
                            break
                        secured_sock.sendall(data)
                except Exception as e:
                    print(f"[ERROR] {e}")


            threading.Thread(target=forward_response_to_client).start()

            proxy2_sock.settimeout(PROXY2_TIMEOUT)
        else:
            print("[ERROR] Unsupported request method!")
            client_sock.close()

    except socket.timeout:
        print("[ERROR] Timeout while waiting for a response from Proxy2.")


    except Exception as e:
        print(f"[ERROR] {e}")
        client_sock.close()



def main():

    domain = "example.com"
    ca_key = "myCA.key"
    ca_cert = "myCA.pem"


    server_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server_sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)

    server_sock.bind((IP, PORT))
    server_sock.listen(5)
    print(f"[INFO] Listening on {IP}:{PORT}")

    while True:
        client_sock, client_address = server_sock.accept()
        print(f"[INFO] Accepted connection from {client_address[0]}:{client_address[1]}")
        client_handler = threading.Thread(target=handle_client, args=(client_sock,))
        client_handler.start()

if __name__ == "__main__":
    main()


Proxy2 script:

Code: [Select]

import socket
import threading
import ssl

BUFFER_SIZE = 8128 #4096
PORT = 3128

def handle_client(client_sock, client_addr):
    try:
        request = client_sock.recv(4096).decode('utf-8')
        print(f"Received request:\n{request}")

        # Add the X-Forwarded-For header
        headers_end = request.find("\r\n\r\n")
        if headers_end != -1:
            request = request[:headers_end] + f"\r\nX-Forwarded-For: {client_addr[0]}\r\n" + request[headers_end:]


        lines = request.split('\r\n')
        domain = None
        for line in lines:
            if line.startswith("Host:"):
                domain = line.split()[1]
                break

        if not domain:
            print("[ERROR] Host header not found.")
            return

        context = ssl.create_default_context()
        with context.wrap_socket(socket.socket(socket.AF_INET, socket.SOCK_STREAM), server_hostname=domain) as server_sock:
            server_sock.connect((domain, 443))  # HTTPS-Port
            server_sock.sendall(request.encode())

            response = b""
            while True:
                chunk = server_sock.recv(BUFFER_SIZE)
                if not chunk:
                    break
                response += chunk

        print(f"Sending {len(response)} bytes back to Proxy1.")
        client_sock.sendall(response)

    except Exception as e:
        print(f"[ERROR] {e}")
    finally:
        client_sock.close()

def main(proxy_port):
    proxy_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    proxy_sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    proxy_sock.bind(('0.0.0.0', proxy_port))
    proxy_sock.listen(5)

    print(f"Proxy 2 started on port {proxy_port}.")

    while True:
        client_sock, client_addr = proxy_sock.accept()
        threading.Thread(target=handle_client, args=(client_sock, client_addr)).start()

if __name__ == '__main__':
    proxy_port = PORT
    main(proxy_port)




To make the server certificate:

Code: [Select]

openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes


The certificate can also be produced differently, for initial testing purposes this should be sufficient...

My configuration:

Client: 192.168.0.34
Proxy1: 192.168.0.212

OPNsense: (IPS) 192.168.0.12
OPNsense: (IPS) 192.168.1.12

Proxy2: 192.168.1.212

Ok that with the gateway on in the net 192.168.1 I must look again more exactly, because in my constellation the traffic occurs then twice on the 192.168.1.12, this should be solved more elegantly

Ok an enterprise feature it is probably not yet, but I have the hope to find a better solution for it with the help of the community.

Even though SSL decryption has its drawbacks, I'm convinced that with the necessary caution it can add value.

14

German - Deutsch / Re: OPNSense als Network Telescope für Honeypots

« on: June 03, 2023, 09:25:49 am »

Moin, du willst die Opensense also mit den Honeypot VMs verbinden, via openVPN?

Die Honeypots haben öffentliche IPs? Und deine Sense VM steht hinter einer Sense oder FritzBox?

Ein Road Warrior Setup könnte für dich funktionieren, ich gehe mal davon aus, dass deine Sense VM keine feste IP (ich meinte öffentliche IP [sry.]) hat?

https://docs.opnsense.org/manual/how-tos/sslvpn_client.html

Ein paar mehr Infos wären, glaube ich, nicht verkehrt gewesen.

15

German - Deutsch / Re: openVPN

« on: June 01, 2023, 04:41:27 pm »

Danke JeGr, ich schaue es mir an wen ich mehr Zeit habe.