Messages

allow me one more questions please

Th current "Dev" Net (hier schreibe ich die Scripte und automatisierungen) sind auf einem Hyper-V. Hyper-V hat ein recommention das so wenig wie möglich vSwitches benutzt werden sollen, im bestfall 1 für DMZ und 1 für Prod Lan

mit cassading hört sich es für mich so an als wäre jedes subnet ein eigener vSwitch, was sich dann addiert auf ca 15.

das Prod environment wird auf Proxmox sein. Proxmox hat, zumindest nicht das ich was dagegen gelesen hätte, kein Problem mit vielen vSwitches.

kannst du auf das was sagen ?

danke und gruss

wir haben keinen psysischen Switch verfügbar. das ist ein rein virtuelles Netzkwerk. die Pysikalischen verfügbaren Ports sind (1) konnected zur DMZ

sonst wäre die übung ja zu leicht :-)

- wenn ich mit gruppen arbeiten will, muss ich die gebrauchte anzahl an netzwerke anlegen (was ungefähr 40 sein wird, mit eigenem network oder subnet spielt hier keine rolle)
- wenn ich mit vlan arbeite, muss ich auch die maximal anzahl netzwerke anlegen (1 pysisches auf opn und die 3 welche dann im gleichen subnet configuriert werden kann, als vlan - 192.168.1.0/28, 192.168.1.16/28_vlan001, 192.168.1.32/28_vlan002, 192.168.1.48/28_vlan003) dann hätte ich 10 NICs (auf der Seite secure_net) und auf dennen dann ca30 vLANs.
- mach ich ein Netzwerk (192.168.1.0/24 und schmeisse alles rein und lass alles mit nur einem opv verwalten, scheint mir security technisch ... fragwrdig zu sein. hier kann teoretisch ja nichts passieren, da der standard gateway welches dann die opn ist, das netzwerk verwaltet

diese 3 möglichkeiten habe ich, so wie ich das verstehe

anderst gefragt wie würdet ihr das machen mit folgenden parametern
1 netzwerk für shared services like ads, ...
10 kunden
jeder kunde bekommt 4 server mit underschiedlichen rollen (rdp, files, etc - die sind immer gleich)
die kunden dürfen keinen access zu anderen kunden haben
security first
rein virtuell. momentan auf hyper-v aber in prod auf proxmox. (was ich mir schon überlegt habe für die netze die Proxmox firewall zu nutzen)
ausführliches logging ist gewünscht.

eine option wäre evtl mehrere opn zu benutzen. dann kann es übersichtlicher gestaltet werden. was meint ihr dazu ?

danke nochmals
gruss

Hier ist ne gute Anleitung

https://docs.opnsense.org/manual/how-tos/security-zones.html

Wenn man es einfach haben will sollte man einfach für jedes Netz /24 nehmen wenns geht, auch wenn man nur 4 hosts drinhat. Das macht es mehr "standard" wenn mal ein Wald und Wiesenadmin das Netzwerk übernehmen soll.

Genug private netze gibt es ja außer man ist in einem ganzheitlichen IP Konzept drin wo jede ausenstelle nur geringe ressourcen bekommt wegen VPN.

das heisst dann das du 40 interface anlegen würdest ?
und die dann in gruppen reinschmeisst (also die wiederkommenden)

(aus jedem network die fileserver in die "gruppe fileserver" usw ...)
verstehe ich das richtig ?
aber wie kann ich 40 interface anlegen ?

Edit: Ich habe das mit den Gruppen gelesen. interessant und genau das was ich brauche (da die sunets alle die gleichen aufgaben haben, fileserver als beispiel).

mit ist immer noch ein rätsel mit den interfaces.
klar, um es einfach zu halten, kann ich 192.168.1.0 (mit x servern), 192.168.2.0 (mit y servern), 192.168.3.0
würde dann ungefähr so aussehen
192.168.1.1 - ads
192.168.2.1 - fileserver generell
192.168.10.1 --- server mit funktion a  ---  gruppe a
192.168.11.1  --- server mit funktion b   ---  gruppe b
192.168.12.1 --- server mit funktion c   ---  gruppe c
192.168.13.1 --- server mit funktion d   ---  gruppe d
192.168.20.1 --- server mit funktion a    ---  gruppe a
192.168.21.1 --- server mit funktion b   ---  gruppe b
192.168.22.1 --- server mit funktion c   ---  gruppe c
192.168.23.1 --- server mit funktion d   ---  gruppe d
192.168.30.1 --- server mit funktion a   ---  gruppe a
192.168.31.1 --- server mit funktion b    ---  gruppe b
192.168.32.1 --- server mit funktion c   ---  gruppe c
192.168.33.1 --- server mit funktion d   ---  gruppe d
btw: da kann auch mit dem subnet gespielt werden und es muss nicht unbedient ein 24 genommen werden
Gruppe a gebe ich dann alle rules fuer fileserver  (im ganzen 4 gruppen)
soweit ist das alles gut (danke fuer den tip mit den gruppen

die frage bleibt: welche art von interface lege ich an und kann ich 40 mal erstellen ?

die andere seite ist konnekted zu einer dmz, die obere konfig nennen wir mal Secure_network

danke für weitere ideen

hallo zusammen

ich habe viele /28er netze.
als beispiel
192.168.1.0/28 - ads server ip 2
192.168.1.16/28 - file server ip 18
usw. im 192.168.1 netz sind 6 x / 28 subnets
im 192.168.2.x sollen nach dem gleichen prinzip 4 subnets, und weitere 10 netzwerke mit den dazugehörigen subnets

virtuallisiert (momentan auf hyper-v, später auf proxmox)

was ist hier die empfehlung ?
wie, von seitens opnsense, sollte das umgesetzt werden ?
welche limits habe ich hier ?

ein kollege hat forgeschlagen nur 1 netzwork, sagen wir 192.168.10.0 und da rein alle server, mit gateway opnsense. opnsense managed die rules dann. also genau das gegenteil von segregation. bitte um empfehlung mit augenmerk auf security

danke und gruss

hello all

how to configure following:
Wireguard (finally working / thx to the wireguard configurator)
the client should use http://localwebsite.cloud/ over vpn
the rest of the traffic not. should go directly over the wlan interface.

thx

---- why would anybody attack an IP that does not answer and of which you cannot be sure you hit anything at all?
----
you are right. makes perfectly sense. thx for your input.

crowdsec - thx, cool option. i use geoblocking

the point of changing IP is:
if the opnsense is configured or IP 1.1.1.1 the service providers router/firewall routes the traffic to the opnsense. if ip changes to 2.2.2.2. the "attack" still on the 1.1.1.1, but the Service provider has now no route and the traffic doesnt pop up on the opn. so the traffic will be eliminated beforehand.
the point of this: if the attack is large enough, it brings down the firewall/service behind.

soo, the goal is: recognize patterns and if match, change the IP and the traffic gets not routed to my firewall. therefore a DDOS attack will be minimized. is the though correct ?

how many queries could an opnsense handle ? is there any calculation ?

hello all

i have multiple IPs and do Service segregation. each service has an own IP.

for instance: 1.1.1.1 is webbserver
2.2.2.2 is rdp server
3.3.3.3 is mail server

for instance on the webserver a page is lets suppose 100 kb of size. there should never be a download or a connection which pulls for example a 10 mb file. how can i limit the transmited data to a certain limit ? and how can i get informed, per email, if something like that happens ?
thx

hello all

i am not sure its the right category.

i want to change the Public IP in case of an attack

means: i have multiple IPs assigned to myself. the main IP, lets suppose 1.1.1.1 and second IP 2.2.2.2, which is a webservice behind (for instance).
now, there are a coulple of cenarios
1. port scan, usually coming from 1 ip and scam many ports
2. DDOS attack - many different IPs overflood the webservice with requests.

1. what can i do against it ? or what are you doing against portscans ?
2. i want in case of an DDOS attack to change the IP from 1.1.1.1 to 2.2.2.2. the "non_configured" IPs on the opnsense will be than handled and blocked from the ISP.

how can i configure the ip change.

hello all

i have an webserver which offers some content.
the link looks like
https://foo.bar.com/blub?cat=all
https://foo.bar.com/blub?cat=config

and so on
how can i restrict incoming requests to a Link Syntax, all other requests should be dismissed
thx for input

i checked the business software but can not find a detailed description. i guess i will write to the sales support to learn more about the differences.

hello all
i have 4 Node proxmox Cluster, each Node is connected with its own interface to outside and has its own IP addresses. on each node is an opnsense Firewall, which is connected to a 5th OPNsense, this FW is connected to the vswitche of Proxmox and is the Gateway for the whole network.
now i would like to sync the settings accross all OPNSense, like the HA Option where i can choose what to sync.
but this is a HA Version (a/P).
any hints how i can sync the FWs ?
thx all

hello all,

i need following:

4 x Public IP (lets call them 1 2 3 and 4 with the gateway 9
4 Internal networks (lets call tham a b c and d)

in DNS are different IPs for each service (like web on 4, email on 2, ..) the internal DNS is on c
the traffic should go in 1 in, and only to the internal network a and send the answer to a out (not over 3 where the standadd Gateway is configured at the moment)
1 <> a
2 <> b
3 <> c
4 <> d
how can i do that ?
with centos its easy. just create custom routes which are attached to the interfaces. but how can i do it with opnsense. i am right now choosing the new firewall i want to use because of that requirement. opnsense looks very robust and has good references / so, i would love to use that software.
anybody an input ?
thx
regards