"
Hallo Patrick,
vielen Dank für Deine Hinweise. Ich grabe mich mal da durch.
Tom
vielen Dank für Deine Hinweise. Ich grabe mich mal da durch.
Tom
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#1
German - Deutsch / Re: OPNsense-Business 24.10.1 - SNMP-OIDs oder MIB - Paessler PRTG
January 15, 2025, 08:09:48 AM #2
German - Deutsch / OPNsense-Business 24.10.1 - SNMP-OIDs oder MIB - Paessler PRTG
January 14, 2025, 04:41:08 PM
Guten Tag,
ich bin auf der Suche nach SNMP-OIDs von OPNsense. Ich möchte den Health permanent monitoren (über Paessler PRTG). Ich habe unter der 24.10.1 (business) das PlugIn "os-net-snmp" installiert.
gewünschte Abfragen sind u.a.:
+ Firmware Update-Status
+ RAM
+ CPU-Last
+ Laufwerk
+ Laufzeit
+ Netzwerklast (in/out)
+ SSD-Health
+ DNS (Records Resolved)
+ Firewallregeln (counter reject)
Kann mir jemand einen Tip geben, wo ich eine OID-Liste oder eine SNMP-MIB zum Auswerten finde?
Ich habe Hinweise zu OIDs in Foren gefunden. Und auch über die Automatiksuche von PRTG einige universelle SNMP-Abfragen erstellen können. Schon funktional und interessant. Aber das sind eher Zufallsfunde als eine strategische, geplante Vorgehensweise.
Ich möchte direkt per SNMP auf die OPNsense zugreifen - nicht über Middleware wie z.B. ZABBIX.
Danke für einen Hinweis
Tom
ich bin auf der Suche nach SNMP-OIDs von OPNsense. Ich möchte den Health permanent monitoren (über Paessler PRTG). Ich habe unter der 24.10.1 (business) das PlugIn "os-net-snmp" installiert.
gewünschte Abfragen sind u.a.:
+ Firmware Update-Status
+ RAM
+ CPU-Last
+ Laufwerk
+ Laufzeit
+ Netzwerklast (in/out)
+ SSD-Health
+ DNS (Records Resolved)
+ Firewallregeln (counter reject)
Kann mir jemand einen Tip geben, wo ich eine OID-Liste oder eine SNMP-MIB zum Auswerten finde?
Ich habe Hinweise zu OIDs in Foren gefunden. Und auch über die Automatiksuche von PRTG einige universelle SNMP-Abfragen erstellen können. Schon funktional und interessant. Aber das sind eher Zufallsfunde als eine strategische, geplante Vorgehensweise.
Ich möchte direkt per SNMP auf die OPNsense zugreifen - nicht über Middleware wie z.B. ZABBIX.
Danke für einen Hinweis
Tom
#3
German - Deutsch / Re: Hilfe bei Firewallregeln erbeten
March 03, 2022, 07:33:11 PM
Guten Abend,
kurzer Zwischenstatus:
zwei von drei Fragen konnte ich durch weitere Recherche im englischsprachigen Forum und durch Mitlesen von "Firewall: Protokolldateien: Liveansicht" lösen.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit SMTP funktioniert?
Es lag am vorgelagerten LANCOM-Router. Ich hatte in dessen Firewall den Port 587 unter ALLOW-SECUREMAIL nicht freigegeben. Es wurde also vorher geblockt - nicht in OPNsense.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit die GUI von OPNsense nur aus dem
> Management-Netzwerk erreicht wird?
System: Einstellungen: Verwaltung
Hörende Schnittstellen von "alle" --> "0_Management"
OFFEN
> wie muß ich die Firewallregeln anpassen, damit
> die Verbindung zu den anderen Netzwerken nicht funktioniert?
Hat hier noch jemand eine Idee für mich? Firewall, Gateway, Bridge, Teaming?
Soll ich ein Gateway pro Netz einrichten?
Oder gibt es irgendwo eine Bridge-Funktion, die ich nicht wahrgenommen habe?
Danke für ein Feedback
Tom
kurzer Zwischenstatus:
zwei von drei Fragen konnte ich durch weitere Recherche im englischsprachigen Forum und durch Mitlesen von "Firewall: Protokolldateien: Liveansicht" lösen.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit SMTP funktioniert?
Es lag am vorgelagerten LANCOM-Router. Ich hatte in dessen Firewall den Port 587 unter ALLOW-SECUREMAIL nicht freigegeben. Es wurde also vorher geblockt - nicht in OPNsense.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit die GUI von OPNsense nur aus dem
> Management-Netzwerk erreicht wird?
System: Einstellungen: Verwaltung
Hörende Schnittstellen von "alle" --> "0_Management"
OFFEN
> wie muß ich die Firewallregeln anpassen, damit
> die Verbindung zu den anderen Netzwerken nicht funktioniert?
Hat hier noch jemand eine Idee für mich? Firewall, Gateway, Bridge, Teaming?
Soll ich ein Gateway pro Netz einrichten?
Oder gibt es irgendwo eine Bridge-Funktion, die ich nicht wahrgenommen habe?
Danke für ein Feedback
Tom
#4
German - Deutsch / Re: Hilfe bei Firewallregeln erbeten
March 03, 2022, 07:59:43 AM
Guten Morgen,
danke für Deine Antwort. Die technischen Details habe ich in ein einzelnes pdf-Dokument gepackt. Und an die ersten Anfrage angehängt. Damit die Anfrage nicht unübersichtlich wird.
> Was aus dem Diagram nicht hervorgeht ist die
> tatsächliche Anzahl der Interfaces am OPNsense
> und wie du die drei Subnetze physisch trennst
Es handelt sich um 6 produktive NICs (2 + 4 + iLO). Die Netze hängen an vier separaten NICs.
em0 WAN
em1 0_Management
bge0 41_Server_alt
bge1 nicht benutzt
bge2 nicht benutzt
bge3 3_Server_neu
> es scheint als wenn dein OPNsense als
> Gateway zwischen den Subnets agiert
ja - diese Funktion würde es erklären. Oder ein NIC-Teaming. Aber ich habe beides (zumindest bewußt) nicht aktiviert.
Ich habe nur einen Eintrag (default) bei Gateway
System: Gateways: Einzeln
WAN_GW (active) WAN IPv4 255 (upstream) 192.168.190.10 ~ ~ ~ Online Interface WAN Gateway
Hast Du Ideen, wie ich die Verbindung kappen kann?
Tom
danke für Deine Antwort. Die technischen Details habe ich in ein einzelnes pdf-Dokument gepackt. Und an die ersten Anfrage angehängt. Damit die Anfrage nicht unübersichtlich wird.
> Was aus dem Diagram nicht hervorgeht ist die
> tatsächliche Anzahl der Interfaces am OPNsense
> und wie du die drei Subnetze physisch trennst
Es handelt sich um 6 produktive NICs (2 + 4 + iLO). Die Netze hängen an vier separaten NICs.
em0 WAN
em1 0_Management
bge0 41_Server_alt
bge1 nicht benutzt
bge2 nicht benutzt
bge3 3_Server_neu
> es scheint als wenn dein OPNsense als
> Gateway zwischen den Subnets agiert
ja - diese Funktion würde es erklären. Oder ein NIC-Teaming. Aber ich habe beides (zumindest bewußt) nicht aktiviert.
Ich habe nur einen Eintrag (default) bei Gateway
System: Gateways: Einzeln
WAN_GW (active) WAN IPv4 255 (upstream) 192.168.190.10 ~ ~ ~ Online Interface WAN Gateway
Hast Du Ideen, wie ich die Verbindung kappen kann?
Tom
#5
German - Deutsch / Hilfe bei Firewallregeln erbeten
March 02, 2022, 05:43:55 PM
Guten Tag,
ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.
übergeordnetes Ziel: Netzwerksicherheit erhöhen
Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)
Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten
später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)
aktuelles Problem: Firewallregeln in OPNSense
meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache
Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.
Danke
Tom
Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)
Problembeschreibung:
• ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
• es ist ein ping in andere Netze möglich
• Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut
Fragen:
• wie muß ich die Firewallregeln anpassen, damit
o die Verbindung zu den anderen Netzwerken nicht funktioniert?
o SMTP funktioniert?
o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?
Visualisierung Umgebung
WAN / Internet
:
: VDSL-Provider
: (WAN / 203.0.113.123)
:
.-----+-----.
| Router | LANCOM 1906VA
'-----+-----' (192.168.190.10)
|
| .-----+------.
IP-Transfernetz +--------| Test-PC D |
(192.168.190.0/24) | '-----+------'
| (192.168.190.100)
|
| WAN OPNSense
| (192.168.190.66)
.-----+------.
.------------| OPNSense+-------------.
| '-----+------' |
| | |
| 41_Server_alt | 3_Server_neu | 0_Management
| (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
| (Subnet 24) | (Subnet 24) | (Subnet 24)
| | |
| | |
.-----+------. .-----+------. .-----+------.
| Test-PC C | | Test-PC B | | Test-PC A |
'-----+------' '-----+------' '-----+------'
(192.168.241.100) (192.168.203.100) (192.168.200.100)
ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.
übergeordnetes Ziel: Netzwerksicherheit erhöhen
Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)
Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten
später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)
aktuelles Problem: Firewallregeln in OPNSense
meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache
Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.
Danke
Tom
Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)
Problembeschreibung:
• ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
• es ist ein ping in andere Netze möglich
• Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut
Fragen:
• wie muß ich die Firewallregeln anpassen, damit
o die Verbindung zu den anderen Netzwerken nicht funktioniert?
o SMTP funktioniert?
o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?
Visualisierung Umgebung
WAN / Internet
:
: VDSL-Provider
: (WAN / 203.0.113.123)
:
.-----+-----.
| Router | LANCOM 1906VA
'-----+-----' (192.168.190.10)
|
| .-----+------.
IP-Transfernetz +--------| Test-PC D |
(192.168.190.0/24) | '-----+------'
| (192.168.190.100)
|
| WAN OPNSense
| (192.168.190.66)
.-----+------.
.------------| OPNSense+-------------.
| '-----+------' |
| | |
| 41_Server_alt | 3_Server_neu | 0_Management
| (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
| (Subnet 24) | (Subnet 24) | (Subnet 24)
| | |
| | |
.-----+------. .-----+------. .-----+------.
| Test-PC C | | Test-PC B | | Test-PC A |
'-----+------' '-----+------' '-----+------'
(192.168.241.100) (192.168.203.100) (192.168.200.100)
Pages1
