Messages

Hallo,

nach einer NAT Regel "diese wurde von Hand angelegt" auf Port 22 auf einen internen Server ging problemlos.
Es musste noch einen Websever eine Regel bekommen. Also machte ich einen Clone von der SSH NAT Regel.

Das ganze lief nicht, egal was ich probiert hatte.

Da ich auch Proxmox im Einsatz habe "genau das gleiche!". Als ich die Regeln neu erstellte, klappte das auf Anhieb.
Beim Proxmox ebenso! Ich verstehe nicht, weshalb hier ein Clone Angeboten wird, "auch bei Proxmox" und man hat hier nur Probleme.
"bei mir und auch bei anderen"!

Ich hatte mal ein Praktikum vor mehr als 20 Jahren in Frankfurth in einer Bank, da war noch Solaris der Renner.

Da meinte ein Sysadmin, höre auf "einen Clone zu machen!", restarte keinen Dienst, sondern stoppe und starte diesen wieder.
Und er hatte mir ans Herz gelegt! mach einen Reboot "grade wenn es um Neuinstallation eines Servers ging"!

Eine Serverinstalltion hatte da mal locker 4 Tage in Anspruch genommen.

Die Frage, die ich mir stelle, weshalb wird solch eine Funktion überhaupt angeboten? Bei einem Bitwarden Server das gleiche!
Bei Firefox klappt das, bei Chrom sind nicht alle Einträge das.

Dann durch Zufall. "gehe direkt auf deinen Server" "selfhost!", und trage die Daten auf dem Sever direkt ein. Bei Chrome musste ich mich direkt am Bitwarden Server anmelden, da ich eine Fehlermeldung bekam! Weil das https Zertifikat nicht wirkte!

Da VERBRINGT Tage mit solchen Problemen. Bin ich da der einzige?

Und das bei einer Firewall, wo das ganze eingentlich fix gehen sollte!

lg

Guten abend,

bei mir ist die neuste OPNSENSE im Einsatz. Habe NAT eingerichtet und es klappt soweit alles.
Jetzt habe ich im internen Netzwerk einen Webserver, der über NAT erreichbar ist http und https!
ich komme von exteren auch auf den Server "webserver", per http.

Nun wollte ich per certbot --apache ein SSL Zertifikat erstellen. Das geht leider nicht!

Meldung

Code Select Expand

Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
  Domain: meine.domain.de
  Type:   connection
  Detail: öffentliche IP: Fetching http://meine.domain.de/.well-known/acme-challenge/G6xTCOATyVxZgCGh7PDudqa7qRsIiJCF7IrRtYZOhBY: Timeout during connect (likely firewall problem)



Code Select Expand

Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for domain meine.domain.de
Performing the following challenges:
http-01 challenge for domain meine.domain.de
Waiting for verification...
Challenge failed for domain meine.domain.de
http-01 challenge for domain meine.domain.de


Die Firewall hat für das WAN eine feste IP! Bei dieser IP wurde ein DNS Eintrag vorgenommen!

Ich arbeite an einer UNI, die Domain kann ich mittels nslookup auflösen und extern per http://meine.domain.de erreichen.

Suche schon den ganzen Abend und habe keine Ideen mehr, an was das liegen könnte. Mal ganz blöd gefragt, geht das überhaupt mit der OPNSENSE. Ich habe das gleiche Modell über eine IPFIRE gelöst, da hat das auf anhieb geklappt.

Für einen Tipp wäre ich sehr dankbar.

liebe grüsse

Guten morgen,

dann ist das doch nicht so einfach, wie ich das gedacht habe. Ich hatte gestern eine win10 Kiste "offentliche IP" einen Zugriff auf meinen Rechner privat zu Hause! Das ging!

Aber von meinem Arbeitsplatz "hinter der Sense" hatte ich keinen Zugriff auf meinen privaten Rechner.Also muss an der Sense noch etwas freigeschaltet werden.

"Dazu brauchst Du Inbound-NAT-Regeln (Port-Weiterleitung) mit der Ziel-IP des Relais-Servers für die benötigten Ports." Das verstehe ich nicht so ganz, da müsste ich ja im internen Netzwerk einen RelayServer haben?

Ok, ich schaue mir das in Ruhe nochmal an. Ich konnte zu meiner Frage keine Lösungen im Internet finden! Wo hast du diese Infos her? Hättest Du einen Tipp? Wo ich da etwas dazu finden könnte?

Vielen Dank für Hilfe

liebe grüsse

Hallo,

ein Ruskserver mit einer öffentlichen IP wurde eingerichtet.
Jetzt möchte ich auf PCs in einem 192.168.50.0/24 Netz zugreifen.

Im internen Netzwerk steht eine OPNSENSE und hat NAT regeln für das Interne Netzwerk.
einmal LAN und WAN.

Ich konnte zwar NAT Regeln finden, die aber waren dafür, dass wenn der Ruskdesk Server im internen Netzwerk steht.

Das sind die Ports

Code Select Expand

ufw allow 21115:21119/tcp
ufw allow 8000/tcp
ufw allow 21116/udp

Ich hatte LAN Rules eingerichtet, Aliase für die Ports und freigegeben. Wie bei den Ports 80,443,usw.
Leider bekam ich da keine Verbindung.

Bin noch relativ neu bei OPNSENSE. Eventuell könnte mir jemand einen Tipp geben.
Ich hätte eventuell noch NAT Regeln einrichten können, aber da kann ich nur auf eine IP weiterleiten, nicht auf das ganze interne LAN oder ich habe etwas übersehen.


danke

liebe grüsse

es geht! Wieso Bilder?
ich habe im Alias die Zeit direkt eingetragen. alle 2 Minuten. Mich wundert nur, dass es über cron im Webgui nicht geht.

auch noch

Code Select Expand

rm -f /var/db/aliastables/* && /usr/local/opnsense/scripts/filter/update_tables.py

ausgeführt.

schöne Ostern!

Guten morgen.

Eingerichtet wurden zwei Blocklisten. "URL Tabelle" Diese liegen auf einem internen Webserver.

Code Select Expand

http://192.168.50.55/liste1.txt, http://192.168.50.55/liste1.txt
Für jede Liste wurde ein Alias eingerichtet. Die Felder Tage Stunden wurden leer gelassen.
Im System wurde jeweils ein Cronjob eingerichtet, um die Tabellen zu aktualisieren`

Code Select Expand

*/2 * * * *, */5 * * * *
Im Protokoll steht der Eintrag "refresh url table aliases". aber es passiert nichts?

Auf der Console sehe ich die Cronjobs

Code Select Expand

# Origin/Description: cron/Alle 5 Minuten
*/5     *       *       *       *       /usr/local/sbin/configctl -d 'filter refresh_aliases'
# Origin/Description: cron/Beschreibung
*/2     *       *       *       *       /usr/local/sbin/configctl -d 'filter refresh_aliases'

Ich habe den Cronjob im Webgui neu gestartet, den Dienst System Configuration Daemon auch.
Geht alles nicht. Deaktiviere ich den Alias und Aktiviere diesen wieder, werden die Dateien auch eingelesen.

Das probiere ich schon seit Tagen.
Auf der OPENSENE selbst wird der Webserver per curl aufgelöst, das DNS klappt.

Im Alias selbst kann ich Tage und Stunden eingeben, aber ich benötige eine Abfrage der Dateien alle 2 Minuten.
Wenn ich im Alias Stunden und Tage eintrage und zusätzlich einen Cronjob, Wie wird das abgearbeitet?
Aber im Log sieht alles gut aus.

Weiterhin habe ich gelesen, dass OPENSENE ohne Cronjob die Aliase alle Minute prüft, ist das wirklich so?

So langsam gehen mir die Haare und die IDEEN aus.
Ich lese immer wirder, prüfen Sie die Protokolle, da steht ja auch das richtige drin, aber passiet nichts.

Würde mich über einen Tipp freuen. ich dachte schon ein zweite OPNSENSE einzurichten, aber das kann nicht der Sinn sein.


Mein System OPNsense 25.1.5_5-amd64

danke LG

Guten morgen,

die datei liegt auf einem internen Webserver http://192.168.50.249/sshblock.txt
die Ipadressen sind untereinander eingetragen.

Was mich verwundert, auf dem Port 22 klappt die Regel, aber bei dem Port 60022 nicht!
Ich bin noch zu Hause, wenn ich später ins Büro komme, melde ich mich nochmal.

Wie kann ich in diesem Forum Bilder direkt hochladen?

Vielen dank für deine Antwort, ich hatte das ganze Wochenende getestet, aber es klappt einfach nicht mit dem Port 60022!
Das ist der Port für den SSH Zugang.

In der Diagnose sind alle IPs enthalten, Ich schreibe später etwas ausführlicher, die Regel musste ich wieder deaktivieren, da plötzlich der interne Webserver nicht mehr erreichbar ist.

Webserver NAT Port 80,443
SSHLogin Port 60022

Wenn die Blockrule auf Port 60022 gesetzt wurde, wieso geht dann der Webserver Plötzlich nicht mehr?
Denn dieser Lauscht ja nicht auf dem SSH Port.

vielen dank , bis später.

lg

Guten morgen,

wollte mich nochmal bedanken, das hat geklappt!
lg

danke, das habe ich echt übersehen!

schönes wochenende!
liebe grüsse

Guten morgen,

ich habe auf einem internen Server einen Port für SSH Logins eingerichtet!.
Da finden täglich SSH/FAILED Logins statt!

Diese filterte ich mir in eine Datei und fügte diese der Floating Rules hinzu.

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"Die Logins befinden sich auf dem PORT 2222.



Netzwerkaufbau

WAN= Öffentliche IP "STATISCH"
LAN = 192.168.50.0/24

Intern = SSH-LOGINSERVER "Port 2222"
Intern = Webserver "port80,443"

Die internen Server werden über NAT erreicht!

Ich dachte, wenn ich mit dem Befehl

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"die Logins auslesen, betrifft das nur den Port 2222!

Aber jetzt geht auch der Interne Webswerver nicht mehr.? Das verstehe ich nicht so richtig?!

Gibt es eine Möglichkeit, die IPs und den Port 2222 und nur diesen für "alle BAD-IPADRESSEN" zu blocken?

also eine Rule, blocke alle IPADRESSEN nur auf Port 2222, die in den Failed|Failure enthalten sind?
Oder ich müsste dann jede einzelne IP eintragen und Testen, ob der Webserver noch ereichbar ist. Das ist ja eine Unmenge an Arbeit.

Die Blockregel klappt auch soweit, die Datei dazu habe ich auf einem internen Webserver abgelegt und per URL_TABLLE IP eingebunden.

danke und ein schönes wochenende!

Hallo, ich hatte die Regel neu erstellt und es geht jetzt! Habe mal ein Testsystem genommen.

hier das LiveLoG

Code Select Expand

025-04-02T12:28:56    192.168.50.53:50620    192.168.1.249:22    tcp    ssh-lgin-sperren

Kann ich im Alias unter "Refresh Frequency" auch das manuell anstossen?

danke und liebe grüsse

Hallo, bei meinem ssh server kommen täglich ssh login versuche, die ich blocken möchte.

Auf dem Server selbst ist eine UFW eingerichtet. Über ein Script lese ich mir die Failed logins raus und speijher die inm einer TXT Datei.

Code Select Expand

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" > failure.txt
grep -E "sshd.*Failed|Invalid|Did" failure.txt | grep -v COMMAND | awk -F 'from ' '{ print $2 }' | awk '{ print $1 }' | sort | uniq -c

cat failure.txt | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq > rules.txt

cat rules.txt > "$(date "+%Y-%m-%d-%H-%M")".txt

Nun wird jeden tag eine Datei angelegt, mit den IPS!

[code]
-rw-r--r--  1 root root   96  2. Apr 05:00 2025-04-02-05-00.txt
-rw-r--r--  1 root root   54  1. Apr 05:00 2025-04-01-05-00.txt
-rw-r--r--  1 root root   54 31. Mär 05:00 2025-03-31-05-00.txt
-rw-r--r--  1 root root   54 30. Mär 05:00 2025-03-30-05-00.txt
-rw-r--r--  1 root root   68 29. Mär 05:00 2025-03-29-05-00.txt
-rw-r--r--  1 root root  107 28. Mär 05:00 2025-03-28-05-00.txt
-rw-r--r--  1 root root   81 27. Mär 05:00 2025-03-27-05-00.txt
-rw-r--r--  1 root root    0 26. Mär 05:00 2025-03-26-05-00.txt
-rw-r--r--  1 root root   14 25. Mär 05:00 2025-03-25-05-00.txt



[/code]

diese werden dann auf den Webserver kopiert. Jedoch geht das schon bei einer IP nicht?

Sinn des ganzen, ich will das mal endlich kapieren, wie ich das mache, aber egal was ich Teste, es geht einfach nicht.!

Was die Logs angeht, da blicke ich auch nicht so durch, denn ich sehe eigendlich nirgends ein error, warum diese Datei mit den IPs nicht erkannt werden. Ich habe das hier gefunden https://github.com/vivi202/firetail?tab=readme-ov-file.

Oder mal über die Console gehen, mit pfctl -vvsr usw. . Aber danke, wenn ich weiter komme, melde ich mich wieder.

liebe grüsse

Hallo zusammen,

auf der Opnsense wurde ein NAT Regel für ein SSH Server "internes Netzwerk" eingerichtet. Das klappt alles.
Der Port vom ssh Server ist die 2222 und wird auf die interne IP 192.168.50.249 weitergeleitet.

WAN = eine feste IP vorhanden.

Nun wollte ich für diese NAT Regel eine Blockliste "IP" einrichten. Diese greift leider nicht und ich komme nicht weiter.

Floating Rule ist vorhanden, die IP wird sich von einem internen Webserver geholt. www.internerwebserver/blocktestip.txt.
Da wurde ein ALIAS eingerichtet wie bei firehol1.

Die IP die ich blocken wollte, ist die von mir zu Hause, um das mal zu Testen.

Hat jemand einen Rat, wieso dass das nicht geht. Noch eine Abschliessende Frage, gibt es eine Doku, wie man im Livelock seine Eigenen Regeln erstellen kann?

vielen dank

Hallo, ich werde die Filterung mal auf dem Debian Server lassen.
Dieser stellt ein SSH LOGIN Server da. Bei dem ich nur extern einen Zugang habe.

lieben dank und ein schönes wochenende.

Hallo Pascal,

entschuldige für die späte Antwort. Ich habe eine Lösung gefunden, die ich zur Zeit nutze.

Ein Bashscript !

Code Select Expand

#!/bin/sh
GRAF=ausgabe


IP=$(echo $(dig dyndns.de +short))

#IP="dig dyndns.de.de +short"

if [ -f $GRAF ]; then
    ALT=`cat $GRAF`
        if [ $GRAF = $IP ]; then
                        echo "IP ist aktuell!"
                        exit 0;
                else
                        echo "IP ist nicht aktuell!"
                        echo "Schreibe neue IP in Datei."
                        echo $IP > $GRAF
                       # ufw delete allow  from $ALT to any port 4576 proto tcp
                       # ufw allow from $IP to any port 4576,80,443,143,25 proto tcp

                    /usr/sbin/ufw delete allow from $ALT to any port 2222  proto tcp
                    /usr/sbin/ufw allow from $IP to any port 2222 proto tcp
                fi
else
        echo "Datei ist nicht vorhanden."
        echo "Erstelle Datei in $IP und schreibe die aktuelle IP."
        echo $IP > $GRAF
        chmod 775 $GRAF
fi

exit 0;


so habe ich in der UFW auf dem Server immer die neuste IP.

Das werde ich auch noch mit OPENSENSE probieren, "danke für deinen POST!"

Der Cronjob wird alle 5 Minuten ausgeführt.

liebe grüsse