Messages

Hallo vpx,

nein, der Webproxy ist nicht aktiviert. Habe ich auch erst gedacht.

ich habe nun das IDS auf LAN aktiviert und scharf gestellt. Ich hatte heute noch ein Gespräch mit einem Vodafone Mitarbeiter, allerdings können die mir - nachvollziehbarerweise - auch nicht weiterhelfen. Aber ist für die schon mal gut zu wissen, dass ich an der Sache dran bin.

Ich gehe also mal davon aus, dass OPNSense keinen Service behinhaltet, der nach außen den Eindruck vermittelt, da sei etwas böses am Werk. Würde mich auch arg wundern. Aber es reicht ja ein Service aktiviert, falsch konfiguriert und schon bricht die Hölle aus.  ;D

Ich muss nun warten, bis die nächste Warnung eingeht und in der Zwischenzeit täglich die Logfiles lesen.

Gibt's noch einen Tip, den ich umsetzen kann um den Störenfried zu fangen?

Gruß

Denise

Hallo vpx,

vielen Dank für Deine Antwort und Hinweise. Ich habe den einen verdächtigen OPNSense dahingehend überprüft und keinen Eintrag gefunden.

Blöd: ich habe aus Gründen der Redundanz einen zweiten OPNSense Server und dort das IDS nicht aktiviert. Echt dumm!  >:( Es war dort nicht aktiviert, weil die Meldung nicht diese Leitung betrifft.

Habe ich nun nachgeholt und hoffe auf diesem Weg vielleicht doch noch den Attentäter zu finden.

Aber vielleicht hast Du noch andere Ideen?

Dank und Gruß

Denise

[2023-07-14T09:19]

Hallo,

ich habe ein Problem, bei dem ich ratlos bin. Wir haben laut cert-bund.de aus unserem Netzwerk ZEUS-verdächtige Aktivitäten.

Netzwerkbeschreibung:

Kabelanschluss Vodafone --> Fritzbox Cable --> Server mit OPNSense --> interne Verteilung an -zig Computer

Maßnahmen:
* DHCP alle Windows-Rechner entfernt,
   DHCP vergibt keine IPs über Adresspool, alle MACs sind dem DHCP bekannt
* Alle Windows-Rechner gescannt (mit separatem Betriebssystem), dann wieder ins Netz genommen
* Alle Scans NEGATIV (Alle Rechner sind auch mit AntivirenSoft ausgestattet)
* Über WLAN nur sehr eingeschränkter Zugang, nur Rechner, die dem DHCP bekannt gemacht wurden, darunter zwei Android Handys (zweimal Samsung)

Beim Durchsuchen der Logfiles nach Angaben der Meldung vom Cert fand ich einen Eintrag, der mit den Angaben des Cert als Suchkriterien einen Treffer ergab: Port 27568 TCP, Datum/Zeit 14.07.2023, 09:19

2023-07-14T09:19:28   Informational   filterlog   81,,,761a166383f941c76dbf2c76c9e2f241,igb1,match,pass,out,4,0x0,,127,34833,0,DF,6,tcp -->
,52,192.168.178.23,173.231.184.124,27568,80,0,S,620865634,,64240,,mss;nop;wscale;nop;nop;sackOK   

WENN ich also diesen Logeintrag richtig interpretiere, dann hat die IP-Adresse 192.168.178.23 eine TCP-Verbindung zu 173.231.184.124 aufgebaut. Aber auch zu Port 27568?

WENN es der Port 27568 war, wäre es der OPNSense-Server selbst, denn das ist seine interne IP-Adresse (192.168.178.23). Könnte es einen Service in OPNSense geben, welcher nach Außen den Anschein erwecken könnte, dass es ZEUS ist (ZEUS ist ein Windows-Trojaner)?

Hinter 173.231.184.124 verbirgt sich etwas, wenn man es in den Browser eingibt, kommt zwar keine Seite, aber auch keine Fehlermeldung. Ein Portscan meldet einen mail412.us2.mcsv.net zurück mit offenen Ports 80 (HTTP), 443 (HTTPS) und 21 (FTP). Das nicht signierte Zertifikat ist ausgestellt auf Internet Widgits Pty Ltd.

Allerdings habe ich seit Monaten keine Änderungen mehr an dem Server vorgenommen, nichts hinzugefügt, so dass ich mir ein plötzliches Auftreten dieser Meldung nicht erklären kann.

Habt Ihr sonst noch Ideen?

Diese Nummer kratzt an meinem Ego!  :-\

Gruß Denise

Hallo TuxTom,

vielen Dank für Deine Antwort. Ich habe eine Fritzbox Cable 6590, die kann kein BridgedMode. Dafür habe ich sie aber einen ExposedHost deklariert:

Diese FRITZ!Box
fritz.box       |      Kabel , ↓ 212 Mbit/s, ↑ 26,5 Mbit/s     |     192.168.178.2   |  WLAN aus

Aktive Verbindungen
Minen-von-Moria-BS  |  LAN 1 mit 1 Gbit/s  |  192.168.176.23  |  Exposed Host
                                                                                                    Echtzeitpriorisiert


Ich habe auch schon die Firewalllogs echtzeitverfolgt und Freigaben dort gemacht, wo es gesperrt war, um zunächst erst einmal zu einem Ergebnis zu kommen. Wahrscheinlich bin ich auch zu dämlich zu erkennen, wo genau es hakt. :-(

Wenn über IPFire es möglich war, warum dann nicht über OPNSense... ?! *kopfkratz* Kann doch eigentlich nur ein Firewallproblem sein.

Ich analysiere mal:

Irgendein interner Client ---> ROUTER (192.168.0.10) NAT / PRTFWD ---> Fritzbox (192.168.178.1)
FRITZBOX (Stream)          ---> ROUTER                         NAT / PRTFWD ---> Client

"Mehr" ist es doch nicht, oder?

Gruß Denise

Hi KHE,

vielen Dank für Deine Antwort.

Ja, bei mir ist es auch so, dass die Anfrage vom Client (hier 192.168.4.2) an die Fritzbox gehen und bei "LiveTV" in der Fritzbox auch der richtige Sender, den ich abrufen will mit einem grünen Punkt angezeigt wird.

Beim LiveLog in OPNSense habe ich sehen können, dass die Pakete INS WAN einwandfrei durchgehen, Ports 55x TCP (letzte Ziffer vergessen, sitze gerade zu Hause) und die Ports 5000 und 5001 UDP werden durchgelassen nach 192.168.178.23 (IP des OPNSense, der ja als ExposedHost eingetragen ist).

Ich werde morgen nochmal die von Dir empfohlene Einstellung vornehmen und hoffentlich sehen, welche Pakete verworfen werden.

Ich melde mich.

Liebe Grüße

Denise

Hat keiner einen Tip oder vernünftiges Tut für mich?  ???

Liebe Grüße,

Denise

Hallo,

langsam drehe ich durch. Ich bekomme zwar die Kabelsender angezeigt, aber den Stream nicht. Unter IPFire war das kein Problem unter OPNSense geht es nicht.

Code Select Expand


      WAN / Internet
            :
            : Public IP from Provider Wingo
            :
      .-----+-----.
      | ISP Router| 192.168.178.1/32 Fritz!Box Cable 6590
      '-----+-----'
            |
    | DHCP 192.168.178.23/32
            |
      .-----+------.
      |  OPNsense  | 192.168.0.10/20
      '-----+------'
            |
        LAN | DHCP 192.168.0.10/20
            |
      .-----+------.
      | LAN-Switche | (strunzdumm ohne Filter etc)
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Ich habe hier eine Menge recherchiert, auch Threads gefunden, die als Solved markiert sind, mir aber nicht geholfen haben.

Wie man in der Grafik sehen kann, benutze ich NAT und muss es auch (Firmenphilosophie). Der Touchscreen, der Fernsehen empfangen soll empfängt mit der Fritz!AppTV die Senderliste, tippe ich aber auf einen Sender, bleibt das Bild schwarz.

Ich habe die FritzBox als Exposed Host konfiguriert und auf der OPNSense Firewall den Port 554 freigegeben.

Dennoch kein Bild...

So einen Stream umzuleiten kann doch nicht so schwer sein...  :-[

Liebe Grüße, Denise

EDIT: ich habe auch versucht, die Lösungen aus https://forum.opnsense.org/index.php?topic=20810.0 anzuwenden, leider ohne Erfolg.

Hallo,

sorry, dass ich diesen Thread nochmal aufgreife. Ich hab einfach das Problem, dass ich das irgendwie nicht verstehe.

Ich habe eine Fritzbox.Cable mit einem DVB-C Tuner und dahinter OPNSense.

Die Fritzbox hat die übliche Adresse 192.168.178.1,
der OPNSense-Router auf WAN 192.168.178.23 auf LAN 192.168.0.10 (/20), der ist in der Fritz!Box als Exposed Host eingetragen.

Ich nat'e dem entsprechend. Das kann ich aus verschiedenen Gründen auch nicht ändern, das ist dem Aufbau und Umfang des Netzwerks geschuldet.

Nun komme ich von IPFire, das konnte ich aus verschiedenen Gründen nicht mehr nutzen, u.a. deshalb weil nicht nachvollziehbarerweise der Proxy immer abgeschmiert ist und alle Versuche, diesen dauerhaft aktiviert zu lassen, scheiterten. Ein Problem, mit dem ich nicht allein dastand. Egal.
Unter IPFire aber war es kein Problem, den DVB-C Empfänger zu nutzen und das Fernsehen auf andere Rechner zu streamen. Kann doch also unter OPNSense nicht sooo schwer sein, das wieder zu aktivieren, zumal es sich doch auch nur um einen Stream handelt?

Ich habe verschiedene Anleitungen gelesen, auch diese, kriege es aber trotzdem nicht hin und finde meinen Denkfehler nicht.

* Ich habe, wie beschrieben, den OPNSense-Server auf "Exposed Host" in der Fritz!Box gesetzt
* In OPNSense ist die Automatisch ausgehende NAT Regelgenerierung aktiviert
* In Firewall / Regeln sind festgelegt wie in den Attachments gezeigt.
   - jeweils der Port 554 TCP und testweise die Ports UDP 5000 und 5001, mehr noch nicht, denn wie ich las, werden weitere nur für die restlichen drei Dekoder der FritzBox gebraucht.
   - Ferner ist die Portweiterleitung aktiv auf 22,80 und 444 als "Anti-Aussperrregel"

Den IGMP Proxy habe/hatte ich installiert, aber auf einer anderen Webseite gelesen, dass die Fritzbox das Protokoll garnicht nutzt. So habe ich ihn wieder deaktiviert.

Kurzum: ich hoffe, jemand kann mir mal helfen mein Denkchaos aufzuräumen und mir zu helfen, das Fernsehen wieder verfügbar zu machen.

Vielen Dank.

Denise