Messages

Hallo,

unsere OPNsense hängt mit 2 WAN-Anschlüssen einmal hinter einer FritzBox (Exposed Host, dynamische IP V4) und an einem Vodafone-Modem mit fester IP.
Es gibt eine Gateway-Gruppe zur Ausfallsicherheit, die im dyndns als zu überwachende Schnittstelle hinterlegt ist.
Da der Telekom-Anschluss mit dynamischer IP der Standard-Anschluss ist, erhält dieser regelmäßig eine neue IP-Adresse.
Um dies abzufangen, verwenden wir os-dyndns (os-ddclient geht nicht, weil der den Ausfall einer Schnittstelle nicht erkennt).
Jede Morgen um ca. 1 Uhr aktualisiert os-dyndns die IP-Adresse automatisch.
Wenn sich die IP-Adresse jedoch danach ändert, wird vom dyndns-Dienst zwar erkannt, dass die bisherige IP-Adresse nicht mehr stimmt, aber es wird keine Aktualisierung ausgelöst.

Um diese Problem abzumildern, haben wir einen Cron-Job erstellt, der um 4.30 Uhr die Aktualisierung der IP-Adresse erzwingt.
Doch wenn die Aktualisierung durch den Cron-Job angestoßen wird, klappt das nicht.

Im Log finden sich folgende Fehlermeldungen:

Code Select Expand

2022-10-27T04:30:05 Error opnsense-business /usr/local/etc/rc.dyndns: Dynamic DNS (name.ddnss.de) There was an error trying to determine the public IP for interface - WAN_GW_Gruppe_T(igb3). Probably interface is not a WAN interface.

2022-10-27T04:30:05 Error opnsense-business /usr/local/etc/rc.dyndns: Dynamic DNS (name.ddnss.de): running dyndns_failover_interface for WAN_GW_Gruppe_T. found igb3

2022-10-27T04:30:05 Error opnsense-business /usr/local/etc/rc.dyndns: Dynamic DNS (name.ddnss.de): IP address could not be extracted

2022-10-27T04:30:00 Error opnsense-business /usr/local/etc/rc.dyndns: Dynamic DNS: updatedns() starting

Als OPNsense Anfänger kommen wir hier leider ohne Hilfe nicht mehr weiter und wenden und deshalb hilfesuchen hier an die Forums-Mitglieder für eine Lösung des Problems.

Dankeschön im Vorraus!

Grundsätzlich sind ja erst einmal alle Ports blockiert :-)
Wenn ich nur den Port 4559 freigebe, ist die Verbindung zum Fax-Server möglich, aber es können keine Faxe versendet werden. Erst wenn ich alle Ports öffne, funktioniert es.
Habe nun halt alle Ports geöffnet...

Dankeschön für deine Hilfe!

Den passiven Modus nutze ich aktuell.
Wie geschrieben ist die Test-Verbindung zum Server möglich, nur das Versenden der Faxe geht nicht, ohne dass ich weitere bzw. alle Ports öffne, weil ich nicht weiß, welchen Port der Faxclient für die Übertragung nutzt.

Danke für die Rüge, ich habs wohl verdient :-)

Der Server steht in der Cloud und die Fax-Clients auf den Client-PCs im lokalen Netz.

Hoffe, das war die fehlende Info?

Hallo Zusammen,

mein Fax-Client kann sich zwar mit dem Fax-Server auf dem freigegebenen Port 4559 verbinden, aber keine Faxe versenden, weil hierzu weitere Freigaben notwendig sind.

Die Lösung ist in diesem Artikel beschrieben: https://www.yajhfc.de/documentation/knowledge-base/138-logging-in-works-but-then-a-connection-timeout-occurs

Der wohl entscheidende Satz lautet:
The best solution to this problem (if possible) usually is to activate the firewall's FTP support and to tell the firewall that you are using FTP over port 4559

Und jetzt komme ich nicht weiter, weil ich nicht weiß, wie ich das umsetzen soll?
Das "os-ftp-proxy"-Plugin habe ich schon mal installiert, sofern das überhaupt notwendig ist, aber was muss ich nun einstellen, um das gewünschte Ergebnis zu erreichen?

Ich habe auch schon mal angefangen eine Nat-Weiterleitung einrichten zu wollen, aber das FTP-Protokoll steht mir hier gar nicht zur Auswahl...

Vielleicht ist ja jemand so nett und kann mir aufs Pferd helfen?

Danke!

Grüßle
Käpsele

wow, Danke!

Na bei der klaren Beschreibung der Funktion, hätte ich ja auch selbst drauf kommen können (Ironie aus)...

Werbung blockieren ist uns nicht so wichtig, bzw. hierfür setzen wir "uBlock Origin" ein.

Für die IP-Blockierung habe ich vermutlich einen gangbaren Zwischenweg, der für uns akzeptabel ist.
Filterung mit transparentem Proxy mit Sperrlisten und IPS für http.

Wenn eine Seite ohne "https" aufgerufen wird, erscheint das Warnfenster der Firewall, wenn es mit "https" aufgerufen wird, die Warnmeldung des Browsers. Sollte die Warnmeldung des Browsers übergangen werden, so erscheint dann trotzdem wieder das Warnfenster der Firewall.
So ist es zumindest bei unserer aktuellen Firewall.
Dieses Szenario würde ich gerne in der OPNsense nachbauen.

Jetzt ist nur die Frage, wie muss ich den Web-Proxy konfigurieren, damit htttp und https über die Sperrlisten läuft, aber nur http mit IPS untersucht und https nicht aufgebrochen wird?

Gibt es für diesen spezielleren Fall eine Anleitung?

Vielen Dank für die ausführliche und verständliche Antwort bzw. Erklärung auf meine Fragen!

Ich habe in der Zwischenzeit auch kappiert, dass so eine Fehlerseite, zumindest für "https", eigentlich nicht möglich ist.
Damit scheidet das Thema "DNS-Block-Listen" komplett aus.
ADGuard bringt für MICH keinen Mehrwert, somit ist dessen Installation ebenso obsolet.

Bleibt für mein Verständnis nur noch der Weg über einen Proxy als "Man in the Middle", was ich ebenso kritisch finde.
Und ClamAV mit seiner schlechten Erkennungsrate in Kombination mit nur dem "http-Protokoll", was kaum noch genutzt wird, ist wohl eher kosmetisch zu Bewerten als ein echter Sicherheitsgewinn.

Da bleibt leider nicht mehr viel übrig...

Aber zumindest habe ich zum Thema DNSBL nun Klarheit bekommen.

Vielen Dank für eure Geduld!

Vielen Dank für eure Hilfe!

Ich werde ADGuard einfach mal installieren und Testen...

Bleibt ja eh nichts anderes übrig, wenn mit DNSBL keine Fehlerseite möglich ist.

uff, vielleicht schreibe ich ja Blödsinn, aber ADGuard ist doch ein Werbeblocker oder? Nachdem er die Verbindung zugelassen hat, möchte er doch die Werbung blockieren, oder?
Und wenn innerhalb der Verbindung geblockt werden muss, dann muss diese Verbindung (https) ja aufgebrochen werden? Deshalb bekommt man ja dann ein ADGuard-Zertifikat im Browser angezeigt und nicht das der Gegenstelle.
Es kann natürlich gut sein, dass das falsche Informationen sind, die ich habe?

Das hier habe ich gerade dazu gefunden: https://adguard.com/en/blog/everything-about-https-filtering.html

Ich möchte es nur verstehen...

Danke für die Rückmeldung!

Zusätzliche Geräte oder VM kommt leider nicht in Frage. Entweder ADGuard auf der OPNsense, oder gar nicht.

Ich habe ADGuard noch nie live, sondern lediglich über Anleitungen kennengelernt. Dort wurde mir berichtet, das ADGuard die Zertifikatskette unterbricht und der Browser nur noch ein eigenes "ADGuard-Zertifikat" zu sehen bekommt. Wenn dies nicht stimmt, habe ich mir die falsche Anleitung angeschaut und lasse mich gerne berichtigen.
Allerdings kann ich mir nicht vorstellen, wie ADGuard filtern will, wenn er nicht weiß, was drin ist. Also muss er, aus meinem Verständnis heraus, "Man in the Middle" sein.

Vielen Dank für die Rückmeldung!

PiHole scheidet aus, weil es nicht auf der OPNsense läuft.

Bei ADGuard bin ich hin und her gerissen.
Einerseits wäre dadurch vieles einfacher, wie du schön geschrieben hast, auch wäre dadurch das meiste an einer Stelle zusammengefasst.
Andererseits habe ich die vielen Nachteile, wie z.B. "Man in the Middle", dadurch Zertifikatsprobleme, ein Programm das nicht direkt in OPNsense integriert ist, extra verwaltet und geupdatet werden muss und auch nicht im Backup der OPNsense vorhanden ist.

Wenn es keine Lösung für eine vernünftige Fehlerseite gibt, kommen jedoch die Blocklisten im DNS nicht in Frage, da dies zu erheblichen Problemen durch die Nutzer führen würde.

Es ist aus meiner Sicht eine unbefriedigende Situation. Aus zahlreichen Komponenten und Möglichkeiten kann man sich das zwar gewünschte zusammenwürfeln, aber jeder Ansatz ist eher eine halbgare Sache, statt eine runde Löung.

Wieso muss das immer alles so kompliziert sein...


Wie sollte dann die Konfiguration am Besten aussehen?
AdGuard als DNS-Server mit den Block-Listen + sonstige Nettigkeiten und den transparenten Proxy mit ClamAV noch dazu und gut ist es?

Danke für die Unterstützung!

Hallo,

als OPNsnse Anfänger und halb-Laie stellt sich mir die Frage, mit was am sinnvollsten die Blocklisten zum Einsatz kommen sollen?

Mein aktueller Stand ist folgender...

• Im Unbound DNS gibt es den Reiter "Blocklist", bei dem ich unter "Typ der DNSBL" zahlreiche Listen aktivieren kann. Eigene Listen sind nicht möglich.


• Im Bind-Plugin gibt es fast dieselbe Möglichkeit und weitere Listen, die in Unbound jedoch nicht zur Auswahl stehen.
  Eigene Listen sind hier ebenfalls nicht möglich.

Frage 1:
Reicht die Listen-Auswahl in Unbound für eine "vernünftige Blockierung" böser Seiten aus, oder sollte die erweiterte Auswahl von Bind hinzugenommen werden?

Frage 2:
Wenn etwas blockiert wird, bekommt der User keine schöne "Ups-Seite" zu sehen und wundert sich, warum er keine Internetverbindung hat. Lässt sich das lösen, dass eine "Fehlerseite" angezeigt wird, wenn etwas blockiert wird?

(Weitere Fragen ergeben sich dann aus dem Ergebnis der Antworten)

Vielen Dank für eure Hilfe!
Grüße
Käpsele