Messages

Hallo Leute,

nun ist gut eine Woche schon um seit meinem Umzug. Und ich muss sagen. FRP/Rathole ist wirklich klasse.

Das läuft wie eine eins.

Da die DTAG hier so gut wie nichts hat außer DSL auf 16000 Niveau, habe ich diesen einfach ebenso gebucht für ein lächerlichen Preis (unter 15€, aber erst nach dem ich sagte ich habe sowieso schon zich Mobile/LTE Datentarife etc).

Opnsense switcht nun erfolgreich zwischen der Glasfaserleitung, der juten alten DSL Technik (DSL ~13.000 gemessen) und LTE Datentarif/Modem hin und her, und meine Dienste sind immer unabhängig davon erreichbar. Mal schneller, mal langsamer.

Aber um ehrlich zu sein, diese Redudanz habe ich nur, weil ich die DSL Leitung für kleines Geld bekommen konnte, und den LTE Modem mit Tarif (Multisim) eh schon habe/nutze aus beruflichen Gründe, und ein altes 4G Modem übrig hatte. Bis jetzt war die Deutsche Glasfaser Leitung stabil.

Also ich kann jedem, der unabhängig des Internetanschlusses Dienste anbieten will, sei es Webserver, Email, Torrent, what_ever, FRP oder Rathole bedingungslos empfehlen!

In der Zeit habe ich auch mit folgendem herumgespielt: https://github.com/mochman/Bypass_CGNAT (mit opnsense als client)

Das funktioniert ebenso einwandfrei. Habe mich jedoch dagegen entschieden, weil FRP/Rathole viel einfacher und flexibler ist.

Im Einsatz habe ich es mit einem "etwas" übertriebendem Root Server von Netcup (weil dort bereits Kunde bin wegen Domain).

Das Produkt schimpft sich RS 1000 G11 und kostet mit einem Server in Deutschland 11.32€ im Monat.

Nach ausführlichen Tests, total überdimensioniert. Jellyfin zb, mit 13 Connections (Familie, Freunde etc), ist der Rootserver trotz Encryption und Compression gerade mal 2-4% ausgelastet (Rathole). Würde definitiv einen viel kleineren wählen wenn ich es nochmal einrichten müsste.

Aber egal. Dafür nutze ich den Server bei Netcup einfach als viertes Backupziel (verschlüsselt) meiner wichtigsten Daten.

Nochmals vielen Dank!

Schau dir mal früher an, früher ist ein Proxy das Tool ist genial für ne ich setze es erfolgreich ein

https://github.com/fatedier/frp


Gesendet von iPhone mit Tapatalk Pro

Damit hast du mich in ein "rabbithole" geschickt! Das ist ja genial!

Habe über frp recherchiert. Und so einige Infos gefunden und getestet. Schlussendlich bin ich bei rathole gelandet, weil tatsächlich um einiges schneller!

https://github.com/anderspitman/awesome-tunneling
https://github.com/rapiz1/rathole

Das ist sowas von genial. Habe das nun provesorisch umgesetzt um es zu testen. Mit meiner aktuellen Telekomleitung funktionierts einwandfrei. Ebenso mit einem LTE-Router den ich einfach mal an den WAN gehängt habe. Ebenso. Richtig genial. Bin total begeistert.

Das Manko was mir jedoch nicht ganz so gefällt, ist die Tatsache das dadurch natürlich opnsense total umgangen wird und IPS/zenarmor/sensei etc nicht mehr funktioniert. Überlege für den produktiven/richtigen Einsatz, einfach auf mein VPS opnsense zu installieren und dort einfach die Portfreigaben, IPS, etc zu regeln für die Dienste die ich nutze. Aber das hat jetzt erstmal Zeit bis zum Umzug. Jetzt weiß ich wenigstens das es so wie ich es mir vorstelle, auch klappt.

Für den Test habe ich auf meinen VPS Wireguard und rathole installiert (rathole/frp bieten auch verschlüsselung an. habe jedoch einfach aus testgründen einfach nur wireguard genommen). Und in der VM worauf mein nginxproxymanager läuft ebenso wireguard und rathole installiert. Wireguard Tunnel aufgebaut, rathole eingerichtet. Auf VPS port 80 in rathole konfiguriert und das weitergeleitet wird an NPM und voila. Funktioniert einwandfrei. Toll.

Hi, ich habe das ganze jetzt am laufen mit dieser Anleitung.

https://administrator.de/tutorial/feste-ips-zuhause-in-pfsense-via-wireguard-tunnel-1124828094.html

Diese Lösung, gefällt mir technisch gesehen am besten! Ist mir jedoch momentan (da ja alles aktuell noch läuft, da am einem Telekomanschluss bin) zu riskant es auszuprobieren. Vor allem da ich nicht ganz verstehe wie das funktionieren soll, da ich nirgendswo erkennen kann wo nun geregelt wird das der Traffic der Nextcloud VM z.B nur über den Wireguard tunnel gehen soll. Aber ich werde mich dahin mal informiert und gründlicher einlesen.

Könntest du ggf grob deine Schritte auflisten die du machen musstest in Verbindung mit opnsense?

Vielen Dank schon mal für die klassen Tipps!

schlussendlich will ich unabhängig von meinem Internetanschluss bzw "Anbieter" sein. Dass das geht mit einem VPS und Wireguard weiß ich. Nur wie weiß ich nicht. Aber das werde ich noch rausfinden.

Der Kumpel, bzgl Portfreigabe, ist ja keine Lösung, weil immernoch nur IPV6. Ich brauche jedoch Ipv4. Ich werde euch auf den aktuellsten Stand halten.

Nein, leider nicht, da bis jetzt außer du nicht geantwortet hat :-)

Aber ich poste die Tage mal die selbe Frage unter dem englischen Topic/Forum. Da ist sicher mehr aktiv.

Hallo Zusammen,

weiß ehrlich gesagt nicht ob ich den Titel passend gewählt habe.

Es geht sich darum, das ich zum 1.8 umziehe zu einem Ort, wo es reales Internet nur von der Deutschen Glasfaser gibt.

Problem ist jedoch, das ich dort kein eigenen Anschluss mehr bekommen kann, da bereits alle Fasern für dieses Gebäude in Verwendung sind. Das ist aber kein großes Problem, da ein Bekannter von mir, der dort auch wohnt, ein Deutschen Glasfaseranschluss bereits hat. Er würde diesen auf die schnellstmögliche Variante von 1gbit down / 500mbit up upgraden lassen.

Das bekannte Problem bei Deutschen Glasfaser ist jedoch, das man nur über IPv6 Dienste wie Nextcloud etc bereitstellen kann. Nicht mehr über IPv4.

An sich kein Problem, wäre im Jahr 2024 das Netz/Internet in Deutschland nicht so miserabel das flächendeckend IPv6 vorhanden wäre. Aber das ist ein anderes Thema.

Nun möchte ich folgendes Umsetzen:



Da ich kein Zugriff auf die Fritzbox des Bekannten habe (und auch nicht möchte), und auch aus bequemlichkeit und der zukünftigen portabilität (da sobald das umgesetzt ist, egal ist wo mein Server steht, bzw sein Internet her hat), möchte ich das so lösen das die VMs auf denen Nextcloud usw läuft - die haben alle ne feste interne ipv4 adresse - ihr internet traffic raus und rein über den wireguard tunnel regeln. der wireguard server wäre dann ein billiger VPS von Netcup im internet. incl opnsense natürlich (da dieser ja die portfreigaben etc regeln soll).

Spontan im Kopf hätte ich die Idee, den Wireguard Tunnel als zweiten WAN zu händeln. Wenn möglich?

Und was ich auch nicht weiß, wie konfiguriere ich den wireguard server im netz so, das all ankommender traffic zu  meiner opnsense geleitet werden soll.

Oder wäre es sogar schlauer, eine zweite opnsense intstance auf den vps zu installieren?

Außerdem soll der restliche Traffic, also von Geräten/Dienste die es nicht benötigen von außen erreichbar zu sein, "ganz normal" ins Internet kommen. also auf den regulären weg.

Ich hoffe ich konnte mein Anliegen erklären.

Vielen Dank für die Tipps und Hilfe!

Danke für die Antwort.

Aber das habe ich bereits gesetzt wie beschrieben.

Ich habe es temporär nun so gelöst, das Pi-Hole die benötigten Domains nach die LAN Adressen übersetzt.

Guten Abend Zusammen,

dieses Wochenende war es soweit. Soweit funktioniert alles, wie es soll.

Die Opnsense hängt hinter der Fritzbox, hat die IP (WAN) 192.168.178.100 und auf LAN Seite 192.168.2.x

Soweit so gut. Telefonie per PC über SIP geht auch.

Portfreigaben habe ich über Exposed Hosts gelöst.

Habe nur ein Problem:

https://abload.de/img/2023-02-0501_05_25-fr66fj1.png

Diese Seite kommt, wenn man vom Netz hinter Opnsense z.b einewebsite.de aufruft (welcher hier im Netz auf nem Server liegt).

Von extern (also aus dem Internet) ist alles ok, und die Website wird aufgerufen.

Dachte erst an NAT Reflection, welches ich konfiguriert habe in opnsense, aber nichts bringt.

Weiß da einer weiter?

Ja das ist leider so.

Naja, aus der Perspektive das der Anschluß selbst schon knapp über 1000€ monatlich kostet, ist das vielleicht "noch OK".

Sicher, ich würde selbst auch mich beschweren und zu Anwalt rennen usw usf. Aber mein Chef möchte dies nicht, weil er an sich zufrieden mit denen ist. Er ist aber auch schon damit zufrieden das wir hier überhaupt was haben. Weil Kupfer der DTAG liefert gerade mal unter 10Mbit, und Vodafone war damals der einzige der hier ausbaute und extra für das Büro/Firma hier ein Kasten aufs Grundstück gebaut hat mit Technik darinne damit die 1gbit up/down überhaupt möglich ist über "Cable".

Jetzt baut aber wie erwähnt seit knapp 1 Jahr die DTAG hier FTTH aus. Und da bekommen wir den selben Anschluß für ein fünftel der Kosten.

Aber naja. Internet ist Neuland in Germany  :D

Dann brauchst du auf der OPNsense kein NAT mehr und es sollte auch keine Probleme mit SIP geben. Ebenso kannst du dir dann den exposed Host sparen und einfach nur gezielt die einzelnen Dienste freigeben auf der Fritzbox ...

Alles klar. Danke.

Meinst du mit "Dienste freigeben", Ports freigeben, oder Dienste der Fritzbox wie NAS usw usf? Weil das ist eh alles ausgeschaltet.

Die Portfreigaben wollt ich alle nur bei opnsense machen (wegen mehr möglichkeit usw) und mir das zusätzliche Freigeben der Ports auf der Fritte sparen.

Auf der Fritzbox?

Damit die Fritte alles nach opnsense weiterleitet gehe ich jetzt mal von aus?

Danke für diesen Hinweis.

Hallo Zusammen,

auf Grund neue Vorraussetzungen müssen wir im Büro eine Firewall einsetzen. Natürlich opnsense :-)

Nun haben wir ein Szenario, das ich versucht habe zu umgehen, aber auf Grund von utopischen Kosten seitens Vodafone dies keine Möglichkeit ist.

Und zwar haben wir von Vodafone ein Kabelanschluß mit 1Gbit up/down. Business. Mit festen IPv4 und IPv6.

Alles soweit so gut. Mein ursprüngliches Vorhaben war, entweder ein reines Modem von Vodafone liefern zu lassen oder selbst von Draytek oder so zu kaufen und diesen zu nutzen. Daran die opnsense und hinter die opnsense die Fritzbox weil diese für Telefonie benötigt wird (SIP, telefonieren alle hier über PC/Notebook).

Nun stellt uns Vodafone jedoch Beine dazwischen, weil die für ihren eigenes Modem, bzw das Umstellen/nutzen monatlich 250€ dafür verlangen. Das dies völliger Schwachsinn ist brauch ich nicht erwähnen. Ich kam auch mit Argumenten wie gesetzliche Routerfreiheit etc pp. Brachte jedoch nichts und bekam Antworten ala: Gilt nicht für Geschäftskunden oder gilt nicht für Kabelanschlüsse.

Also könnte man nun entweder die zusätzlichen 250€/monat akzeptieren oder Anwalt einschalten.

Beides unsinnig bei dem Hintergrund das bei uns aktuell Glasfaser von der DTAG verlegt wird und wir mit denen schon ein Vertrag abgeschlossen haben, dies jedoch laut aktueller Prognose aber erst mitte nächsten Jahres aktiv wird.

Der Plan den ich nun realisieren werde, ist das ich die Fritzbox einfach so lasse wie die ist, und dahinter kommt die opnsense woran dann das restliche Netzwerk verbunden ist. In der Fritzbox werde ich dann "Exposed Host" einrichten und gut ist.

Das dies so funktioniert, weiß ich schon weil das vor 5-6 Jahren für mich privat auch schon mal gelöst habe (auch Kabel). Da nutzte ich jedoch keine SIP Clients die sich zu Fritzbox verbunden haben, sondern DECT Telefone.

Was mir nun unklar ist jedoch, wie es nun halt mit SIP Clients verhält. Wird dies weiterhin funktionieren wenn die Clients alle 192.168.178.1 drin stehen haben, oder muss ich irgendwas ändern oder Routen in opnsense diesbezüglich einrichten müssen?

Fritzbox ist standard Fritte IP Range: 192.168.178.1 - 192.168.178.255

WAN der opnsense würde ich 192.168.178.100 geben.

Und LAN 192.168.2.1 - 192.168.2.255

Generell wäre ich für "must to do"/"best practice" Tipps dankbar.

Yes, i know.

But for now, i have a Solution for me.

i tried this: https://www.allthingstech.ch/using-opnsense-and-ip-blocklists-to-block-malicious-traffic last week, but didnt worked for me, because i did a mistake. it seems opnsense didnt accept 12.9.69.72/29 for example. It only accepts ips.

So i created a small VM with Debian on my server. There now runs a cronjob every 15 Minutes wich runs https://github.com/NetSPI/NetblockTool

For example: python3 NetblockTool.py -v Facebook -s -4

Wich will you get all IP's (v4, because v6 is deactivated anyway) wich belongs to Facebook and subsidiaries of it.

In my case:

Code Select Expand


[*] Getting subsidiary information for Facebook
  [*] Gathering company information for Facebook from EDGAR database
  [*] Gathering company documents for Facebook from EDGAR database
    [*] Status: 1/5
    [*] Status: 2/5
    [*] Status: 3/5
    [*] Status: 4/5
    [*] Status: 5/5
  [*] Removed companies with no document information, 1/5 remain
  [*] Getting list of Facebook subsidiaries
    [*] Searching filings for EX-21 documents
      [*] Found: https://www.sec.gov/Archives/edgar/data/1326801/000132680122000018/0001326801-22-000018-index.htm
    [*] Downloading EX-21 document
      [*] Found: https://www.sec.gov/Archives/edgar/data/1326801/000132680122000018/fb-12312021x10kexhibit211.htm
    [*] Parsing subsidiaries
  [*] Found 26 subsidiaries
    [*] Cassin Networks ApS
    [*] Edge Network Services Limited
    [*] FCL Tech Limited
    [*] Facebook Holdings LLC
    [*] Facebook Operations LLC
    [*] Facebook Payments Inc
    [*] Facebook Technologies LLC
    [*] Facebook UK Limited
    [*] Greater Kudu LLC
    [*] Hibiscus Properties LLC
    [*] Instagram LLC
    [*] META PLATFORMS INC
    [*] Meta Platforms Ireland Limited
    [*] Morning Hornet LLC
    [*] Novi Financial Inc
    [*] Pinnacle Sweden AB
    [*] Raven Northbrook LLC
    [*] Runways Information Services Limited
    [*] Scout Development LLC
    [*] Siculus Inc
    [*] Sidecat LLC
    [*] Stadion LLC
    [*] Starbelt LLC
    [*] Vitesse LLC
    [*] WhatsApp LLC
    [*] Winner LLC


The result you get is a csv file with all IP Ranges. Then i found this: https://stackoverflow.com/questions/16986879/bash-script-to-list-all-ips-in-prefix

With that i can let calculate all ips from these ranges with ./script -i input.txt > output.txt.

The output.txt is on a local nginx server and my opnsense loads that.

And this seems to work. Now i have since ~1 Hour Live View open and can see how Whatsapp tries to connect tousands of different ips every secound (and in the app it still tries to send/recive the messages). Without that blocklist (only zenarmor), it tries for ~10 minutes too and after that time it had success and found a connection wich works. Now not more :-)

Next week i write a script to automate that and to create cronjobs for the other services like Microsoft, Amazon and others too.

And i need to find out why i cant redirect all DNS Request to my Pi-hole without it gets looped endless.

im trying to achieve to block every thing i mentioned on my first post.

In the meantime, i created 4 VM's with there own network.

1x opnsense
1x pihole
2x clients

There i get the same problem. As soon the pi-hole is in the same network like the others, the "dns override" gets in a loop. If the Pi-hole is on a another network, it works.

like described here: https://forum.opnsense.org/index.php?topic=30066.msg145392#msg145392

Ok, after hours of fideling im now frustrated and need a break.

After i found out, that zenarmor works, but sadly not to 100% (because i think they use tables in the background too wich lack behind actual used ips or so?) i tried simply to create a floating rule with a alias.

The IPs i need, i got from https://github.com/NetSPI/NetblockTool.

For Facebook for exmaple: https://pastebin.com/raw/VTfsA4DP

Created the Rule like here described: https://www.allthingstech.ch/using-opnsense-and-ip-blocklists-to-block-malicious-traffic

And? It didnt work. In the Liveview from the Firewall, i can see he allows connection to 157.240.196.111 for example. but it is definitly blocked (or should) by 157.240.196.0/24 (wich would be 0-255).

I do this more simply thusly:

1) Outbound NAT rules to redirect port 53 TCP/UDP to Pihole (Log to locate devices trying to bypass your DNS and remove them from your network).
2) Outbound NAT rules to redirect port 853 TCP/UDP to Pihole(Log to locate devices trying to bypass your DNS and remove them from your network).
3) Zenarmor tick rule to block DNS over TLS (Zenarmor has a logging interface automatically)
4) Zenarmor tick rule to block DNS over HTTPS
5) LAN rule to block 8853 UDP out (Dont bother logging any chrome browser will trigger log).
6) LAN rule to block 443 UDP out (Dont bother logging any chrome browser will trigger log).
7) LAN AllowList Alias to allow out CND networks if required
8 ) LAN BlockList Alias to block outbound IP's on lists (LOG THIS RULE SO YOU CAN SEE WHEN IP's BLOCKED):
    https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt
    https://raw.githubusercontent.com/pallebone/TheGreatWall/master/TheGreatWall_ipv4
    https://raw.githubusercontent.com/oneoffdallas/dohservers/master/iplist.txt
    https://raw.githubusercontent.com/jpgpi250/piholemanual/master/DOHipv4.txt
    https://raw.githubusercontent.com/cbuijs/accomplist/master/doh/plain.black.ip4cidr.list
    List of manual IP's I have found:
    Manual added DOH IP's: 1.1.1.1,1.0.0.1,1.1.1.2,1.0.0.2,1.1.1.3,1.0.0.3,104.17.64.4,104.17.65.4,203.107.1.4,193.161.193.99
    Manual added DOH ranges: 101.36.166.0/24,203.107.1.0/24

Note : AllowList I have had to open so far contains this port/ip combinations:

Allow out port 443: 151.101.66.133, 151.101.2.133, 151.101.130.133, 172.67.75.103, 104.26.2.13, 185.199.108.153, 185.199.109.153, 185.199.110.153, 185.199.111.153, 104.26.3.13, 151.101.194.133, 216.239.34.21, 44.235.246.155, 151.101.65.195, 104.26.4.174, 172.67.70.80, 104.21.39.13, 172.67.170.203, 151.139.128.10, 104.26.5.174, 151.101.1.195, 141.193.213.21, 172.67.212.2, 104.21.85.239, 44.236.72.93, 104.16.132.229, 141.193.213.20, 217.64.148.8, 104.21.68.104, 96.126.123.244, 45.33.20.235, 44.236.48.31, 216.239.36.21, 216.239.38.21, 104.19.155.92, 104.21.15.239, 167.172.139.120, 216.239.32.21, 90.155.62.13, 90.155.62.14, 95.216.25.250, 162.159.138.85, 162.159.137.85 172.224.62.11 172.224.63.11 172.224.63.19 23.227.38.65

Allow out port 123: 69.1.1.251, 129.250.35.250, 129.250.35.251, 162.248.241.94, 194.36.144.87, 95.216.24.230, 45.76.113.31, 94.16.114.254

Allow out port 80: 151.101.66.133, 151.101.194.133, 151.101.2.133, 151.101.130.133, 141.193.213.20, 172.67.70.80, 104.26.4.174, 184.168.131.241, 17.253.85.204, 162.159.138.85, 162.159.137.85

With this combination I have not been able to find a way to bypass the block unless an IP is added to the allowlist (required if you want to access a site that is a CDN).

I occasionally update this page with new IP's or lists I find (the DOH stuff is near the end):
https://github.com/pallebone/PersonalPiholeListsPAllebone

Somehow i cant create a NAT Outbound rule to specific my pi-hole (see attachment).

It changed everytime to 192.168.5.0 as destination.

Edit: Ok i followed this guide: https://homenetworkguy.com/how-to/redirect-all-dns-requests-to-local-dns-resolver/

Wich works technically, but practical not. Any normal DNS request gets redirected to pi-hole.

BUT, after the dns query reached pi-hole, pihole start a request to other upstream DNS Server  (level3 in this case, for testing), wich gets directly redirected to pi-hole again, where the loop starts from new.