Messages

Also leute unser Tutor der das Projekt überwacht hatte wohl den traffic vom WAN blockiert damit keine BOts versuchen in unser VM´s zu brute forcen. Wir haben es jetzt mit der NAT regel ausprobiert und tatsächlich bekommen wir packete auf dem VM´s wenn wir tcpdump nutzen aber wir können uns noch nicht verbinden bzw. ssh und http geben uns timeouts nach einer zeit.

EDIT: funktioniert jetzt alles mussten noch ein gw angeben in den VM´s und falls jemand ein ähnliches projekt hat mit den NAT regeln funktioniert es auch auf IPv6 adressen.

Der IP adressbereich wird zum OPNsense-LAN geroutet

wir haben einen IPv6 Adressbereich

Was genau ist damit gemeint? Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Grüße
Maurice

der IPv6 Adressbereich wird zum LAN durchgeroutet. aber wir könnten ihn auf den WAN Port legen falls 2 netze gleichzeitig gehen sonst könnte man noch einen 2. WAN port für opnsense bauen.

Beim tcpdump bekommen wir nichts für die IPv6 anfrage, haben es nochmal bei IPv4 versucht und da bekommen wir was rein.

Was funktioniert nicht? Wenn ihr auf der VM ein tcpdump anwerft, kommen dann Pakete auf Port 22 an für dieses Netz? Wenn ja, dann braucht ihr dann natürlich auf der VM ein Stück Software, das mit diesen Paketen auch etwas tut. Mit einem sshd aus der Standardinstallation geht das nicht. Ihr wollt ja tausende von Adressen parallel bearbeiten - daher muss die Hoenypot-Software die Pakete vom Interface unabhängig von der Zieladresse abgreifen und $irgendwas damit tun ...

Wir machen das jetzt mit dem tcpdump und schauen uns das an, aber wir haben versucht uns mit der VM per SSH zuverbinden über eine zufällige IP adresse aus dem bereich und uns wurde No route to Host ausgegeben.

Nein, bei Firewall-Regeln setzt man normalerweise gar keinen Gateway.

wir haben es ausprobiert aber es funktioniert leider noch nicht, ein Gedanke wäre weil wir im Gateway das LAN interface ausgewählt haben weil unsere IPv6 adresse für die VM nicht in WAN sondern in LAN liegt anscheinend. Die Regeln aber für das WAN erstellen. Könnte es daran liegen ?

Du legst einen Gateway an mit der IPv6-Adresse der VM und dann eine Route mit Ziel: das gesamte Netz, Gateway: der Gateway, den du angelegt hast. Dann eine Firewall Regel auf WAN, Source, any, Ziel: das gesamte Netz, Zielport: 22, Action: allow.

bei der Firewall regel, das Gateway auch auf den neu angelegten Gateway setzten?

Route - nicht NAT Regel. System > Routes.

also System > Routes > Configuration, eine regel hinzufügen. Als Netzwerk adresse nehmen wir dann zb die VM für die SSH VM Gateway wird wahrscheinlich das WAN_inet6 und dann sollten wir eine Route zu der VM haben?

Gib der VM eine beliebige Adresse aus einem Netz, dass die OPNsense hat, und route den gesamten Adressbereich dort hin. Dann kann ein Honeypot im promiscuous mode alle Pakete mit dem entsprechenden Ziel abgreifen.

Genau das haben wir versucht mit der oben genannten Regel, allerdings sind es 2 VM´s eine für SSH und die andere für HTTP deswegen wollten wir den traffic eingrenzen mit den ports. Die VM´s haben bereits statische IPv6 und IPv4 adressen aus dem Bereich. Das macht die Aufgabe auch so schwierig, dass wir 2 VM´s haben für einen Adressbereich.

Es soll also echt der gesamte Adressbereich an die VM geleitet werden?
Keine Ahnung wie man das macht, aber ich sehe auch keinen wirklichen praktischen Grund dafür  :o

Ja wir sehen da auch kein sinn, aber der Prof. will das halt so haben leider. Das soll wohl ein Network Telescope sein der Bots in ein Honeypot lockt die auf der VM laufen und wir sollen die halt in den Honeypot weiterleiten(unsere VM).

... daher auch nicht Portweiterleitung, sondern Portfreigabe.
Das ist ua der Vorteil von v6: kein NAT = keine Weiterleitung weil das Gerät direkt über seine GUA erreichbar ist. Der Zugriff nuss nur in der Sense und ggf auf dem Gerät selbst erlaubt werden.

Wir haben allerdings schon eine Pass Regel die alle IPv6 zugriffe erlaubt, nur wir kriegen das nicht hin das auf port 22 alle Adressen in Adressbereich auf eine VM die über Proxmox läuft und in unseren Intern Netz ist weitergeleitet wird. Da wir das gleiche für HTTP nochmal machen, nur auf eine andere VM aber der selbe Adressbereich, ist das mit dem Port schon wichtig und können nicht einfach nur die zugriffe durchlassen.

Für IPv6 verwendet man in der Regel kein NAT sondern gibt einfach den Port (22 in eurem Fall) mit dem Ziel "eure VM" frei.

Also du meinst das wir uns die Regel sparen können und woanders(unter Rules) einfach den Port für den adressbereich frei geben? Aber das würde ja noch nicht das problem lösen das alle adressen in den Adressbereich auf eine VM weitergeleitet werden oder?

Moin, wir machen in rahmen unseres Studiums ein Projekt und benötigen Hilfe.
wir haben einen IPv6 Adressbereich in unseren Netzwerk und möchten, dass wenn eine der Adressen mit Port- 22 also ssh angepingt wird, auf eine VM weitergeleitet wird. Wir sollen dazu OpnSense verwenden, wir haben die Portweiterleitung für IPv4 schon erledigt und dies funktioniert, allerdings ist bei entsprechender Regel im  Firewall -> NAT ->Port Forwarding für IPv6 iwie der Wurm drin. Habt ihr da Erfahrung und iwelche tipps? wenn wir die Weiterleitung testen bekommen wir No Route to Host als fehlermeldung. Hier nochmal die erstellte Regel:

Interface   
WAN

TCP/IP Version   
IPv6

Protocol   
TCP
   
Destination   
IPv6_Range(unser IPv6 adressbereich)

Destination port range   
from:SSH   to: SSH

Redirect target IP   
Single host or Network
(IPv6 adresse unserer VM)

Redirect target port   
SSH

Pool Options:
Default

Genau, ich möchte die Opensense mit den Honeypot VM´s verbinden um angreifer in die jeweiligen Honeypots(einer für SSH und einer für HTTP) weiterzuleiten, deren Log´s zu speichern und verwerten mit secruity Onion. Die Opensense VM und der IP-Adressen Pool werden uns gestellt von der Uni, Die Honeypots hätten dann öffentliche IPs aber da wird keiner direkt drauf zugreifen sondern nur durch unseren IP-Adress pool der durch unserer Opensense VM geht und durch die OpenVpn, Port forwarrding zu den Honeypots weitergeleitet wird.

Ich würde gerne noch mehr Infos geben, aber leider habe ich echt wenig Ahnung wir haben jetzt die VPN server erstellt aber sind uns jetzt noch mit dem Port forwarding unsicher. Gibt es da tipps oder dinge die wir beachten müssen?Ist der Road warrior setup hier sinnvoll?

Moin liebe Community,

ich habe die Aufgabe für ein Projekt in meinen Studium ein Network Telescope einzurichten, für ein SSH- und ein HTTP Honeypot. Ausserdem sollen diese Logs an uns zurücksenden die wir dann an eine VM mit Secruity Onion, Kibana/Elasticsearch speichern und visualisieren. Wir haben bereits eine VM mit OPNSense und die Honeypots sind auch in Arbeit allerdings werden die von Kommilitonen entwickelt.

Meine frage ist jetzt wie stell ich die Verbindung von meiner OPNSense VM mit den Honeypots her? Kann ich Port Forwarding durch die Firewall machen?
Netzwerk Adressen werden von der Uni gestellt das heißt wir müssen uns nur um die Konfiguration kümmern.

Ich habe tatsächlich null Ahnung vom den ganzen und wäre sehr Dankbar für Hilfreiche antworten, gerne auch Anmerkungen wie man es besser machen könnte.

Edit: wir haben uns jetzt entschlossen eine VPN einzurichten mit OpenVPN und über die firewall und die NAT Port forwarding regeln die IP-Adressen weiterzuleiten.
Was benötigen wir für diese Methode ?