Messages

Hi Zapad,
danke fuer die Erklaerung! Das war mir nicht auf Anhieb klar.

es geht um diese option in den Regeln bei TCP, ohne diese produziert Sense false positive Default denys trotz freigegebenen ports.

Bei mir sind diese Flags sichtbar sobald ich den "Advancd Mode" einschalte. Hilft dir das eventuell weiter?
You cannot view this attachment.

Hallo,

im ISC DHCP gab es die Moeglichkeit, dass DHCP Hosteintraege an einen DNS-Server (z.B. einen DC) gemeldet werden konnten.
Bei KEA habe ich keiner Einstellungen dazu in der Webgui gefunden. In /usr/local/etc/kea/kea-dhcp-ddns.conf scheint so etwas
wohl grundsaetzlich einstellbar zu sein. Da das (soweit ich das verstehe) nicht in der config.xml gespeichert ist, ist es
vermultich auch beim Backupo nicht enthalten und muss separat beruecksichtigt werden. Ist meine Einschaetzung soweit richtig?
Gibt es Plaene die KEA Implementierung in der Webgui zu erweitern?

Hi,
im neuen Release ist mir aufgefallen, dass die Stsandardports (also die Namen), die DNS, HTTP, IMAP, etc. nicht mehr
in der Dropdownliste bei Quell- und/oder Zielport verfuegbar sind. Ist das Absicht?

Hallo Zapad,
ich habe eben auf meiner OPNsense nachgesehen. Bei mir sieht es so aus.
Ist es das was du suchst? Meine Version: OPNsense 26.1_4-amd64

You cannot view this attachment.

Moechte mich bei euch beiden fuer die Hilfe bedanken!
Das hatte ich dort nicht vermutet.

Ich habe auf KEA DHCP4 umgestellt, habe in meinem HomeLab 6 Subnetze. KEA DHCP4 liefert als DNS Server jweils die Schnittstelle des Subnetzes.
Ich habe in den Einstellungen von KEA HDCP4 nichts gefunden, wo ich meinen DNS-Server angeben kann. Nur wenn ich statische Eintraege (Reservierungen) erzeuge, dann kann ich den DNS-Server mitgeben.
Uebersehe ich etwas?

Hi zusammen,

in einer Testumgebung habe ich zwei OPNsense mit HA Setup. Die Synchronisation funktionert soweit.
Wenn unter System > Access > User neue Benutzer angelegt werden, werden auf der Hauptinstanz auch die User auf OS Ebene angelegt (/etc/passwd). Auf der Backupinstanz sind die User auf der Webgui sichtbar. Die OS User werden nicht angelegt. Ist das Absicht bzw. gewollt oder handelt es sich ggf. um einen Fehler?
Oder ist das synchronisieren von OS-Usern zur riskant/schwierig und es unterbleibt deshalb?

Vielen Dank im voraus.

Hallo zusammen,

##
Hier die Loesung, auf den ESXi Hosts musste nachstehender Programmaufruf ausgführt werden:

Code Select Expand

esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1
##


in vSphere Umgebung habe ich zwei OPNsense Instanzen aufgesetzt. Beide Instanzen sind auf dem selben Host.
ifconfig vmx0 gibt aus:

Instanz 1:

Code Select Expand

vmx0: flags=8963<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LAN
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 00:50:56:ad:cf:3f
        inet 172.16.1.252 netmask 0xfffff000 broadcast 172.16.15.255
        inet 172.16.1.254 netmask 0xfffff000 broadcast 172.16.15.255 vhid 70
        carp: BACKUP vhid 70 advbase 1 advskew 0
        media: Ethernet autoselect
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>


Instanz 2:

Code Select Expand

vmx0: flags=8963<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LAN
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 00:50:56:ad:07:06
        inet 172.16.1.253 netmask 0xfffff000 broadcast 172.16.15.255
        inet 172.16.1.254 netmask 0xfffff000 broadcast 172.16.15.255 vhid 70
        carp: BACKUP vhid 70 advbase 1 advskew 100
        media: Ethernet autoselect
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

Die VMware Portgruppe hat in den Einstellungen fuer Security folgendes aktiviert:

Code Select Expand

Mac address changes
Forged transmits


Firewall Regeln dass CARP erlaubt ist habe ich fuer ein- und ausgehend angelegt.
Auf dem gleichen System habe ich für die Überprüfung zwei Instanzen mit OpenBSD aufgesetzt.
Dort funktioniert das CARP auf Anhieb.

Was könnte ich falsch gemacht oder übersehen haben?

Hello sy,
thank you for your reply. After reading the information in the provided link, i decided to delete my "cloned" policy and create on using the "+" sign und starting the Wizzard. This rule works now. May my fault was to clone the default policy. However, now it works and i thank you.

Hello all,

i started a 15 day test period. I cloned the "Default" policy and adjusted the cloned policy to my needs.
After a reboot i went to Zenarmor -> Reports -> Live Session Explorer. In every line wich is reported is only
the "Default" Policy mentioned. If i filter for Policy and use the name of my Policy, there is nothing to see.

May i have done something wrong or missing somewhat.
In general configuration it is set to:

Routed Mode (L3 Mode, Reporting + Blocking) with native netmap driver
Database: MongoDB
Deployment Size: Medium (max. 100)
Protected Interfaces: LAN, DMZ

The cloned policy is on status active.