Messages

1

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: July 21, 2024, 12:22:11 am »

Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.

Warum?

Ich hatte in div. Videos vernommen, die Weboberfläche nur aufs lokale LAN Interface zu legen, um nicht von außerhalb zugreifen zu können.
Wenn ich es allerdings richtig verstehe, könnte ich von außerhalb meines lokalen Netzes ohnehin nicht zugreifen, es sei denn ich hätte eine NAT Portweiterleitung auf den Adguard Port eingerichtet... 

2

German - Deutsch / Firewall Rules | DNS auf Diese Firewall

« on: July 19, 2024, 11:02:06 pm »

Hallo an die Runde,

um DNS freizugeben, nutze ich die eingehende Regel
IPv4 TCP/UDP   Server    *   Diese Firewall   53 (DNS)   *   *      LAN_TO_Firewall_DNS

Die DNS Freigabe klappt nur mit obiger Regel. Setze ich bei Ziel statt "Diese Firewall" die IP der Opnsense ein (10.10.1.1), klappt die DNS Freigabe nicht mehr.
Ich nutze Adguard und Unbound DNS auf Port 53053.

Eine Verständnisfrage zu den Firewall Regeln:
=> Ist die DNS Freigabe auf "Diese Firewall" ein potentielles Sicherheitsrisiko? Ich habe gelesen, der Eintrag "Diese Firewall" würde alle privaten Adressen der Sense umfassen? 

=> Falls meine DNS Regel Optimierungsbedarf hat, wäre interessant wie diese aussehen müsste? Target 10.10.1.1 mit Port 53 oder Port 53053 (Unbound) habe ich bereits getestet, damit bekommen die Hosts allerdings keine Internetverbindung.

Grüße
neuling10

3

German - Deutsch / IPSec Site 2 Site mit WAN Failover

« on: July 17, 2024, 01:50:30 am »

Hallo an die Runde,

folgender Aufbau:
ich habe 2 Opensense Boxen via IPSec Site 2 Site verbunden, das ganze läuft problemlos.

Auf Site A ist eine Gateway Gruppe aktiv zwecks Failover (falls Kabelverbindung ausfällt, wird Verbindung über LTE Modem hergestellt). Das WAN Failover funktioniert problemlos.
Auf Site B gibt es kein Failover.
Da ich auf beiden Sites statische, öffentliche IP Adressen habe, erhält Phase 1 des Tunnels mittels DynDNS Service stets die aktuelle und aktive IP von Site A sowie die aktuelle IP von Site B. Auch das funktioniert wie es soll.
Auf Site A habe ich zwei Phase 1 Einträge; für jedes Interface einen (WAN Kabel und WAN LTE). Die WAN Gruppe ist ja leider nicht wählbar.
Auf Site B habe ich nur einen Phase 1 Eintrag.

Ziel:
Schaltet auf Site A die WAN Verbindung aufs LTE Modem um, soll der IPSec Tunnel über das LTE Gateway laufen. Sobald wieder eine Verbindung zum Haupt-Gateway (Kabel) aufgebaut ist, soll der VPN Tunnel wieder automatisch auf das Kabel Gateway wechseln.


Problem:
Natürlich habe ich bereits einiges an Recherche- und Testfällen hinter mir (Dead Peer Detection, "MOBIKE "deaktivieren" aktiviert, Keyingtries auf -1). Was ich auch einstelle, nach dem Gateway Wechsel wird die VPN Verbindung nicht mehr aktiv. Erst nachdem ich auf beiden Sites den IPSec VPN Dienst neu gestartet habe, verbindet sich der Tunnel wieder.

Hat jemand von euch einen ähnlichen Aufbau und eine funktionierende Konfiguration?

Grüße
neuling10

4

German - Deutsch / Re: GUI auf Wireguard

« on: July 12, 2024, 12:00:35 am »

Hi,

ich hatte zu Testzwecken sowas ähnliches laufen. Versuchs mal mit einer eingehenden Rule am Wireguard  Interface (nicht die Gruppe) mit:

IPv4 *   IP_WireguardClient   *   DieseFirewall    *   *   *      ALLOW_WGClient_TO_Firewall

Grüße
neuling10

5

German - Deutsch / Re: Synology NAS über Subnetz und VPN erreichen

« on: July 06, 2024, 12:29:37 pm »

Ich habs nun zum Laufen gebracht  . Es lag an einer Einstellung auf der Synology:
Manuell konfigurierte Netzwerkeinstellungen haben warum auch immer nicht geklappt. Nach Umstellung auf DHCP und Neustart von Synology und Opnsense klappte die Anmeldung auch aus dem VLAN sowie via VPN

Grüße
neuling10

6

German - Deutsch / Synology NAS über Subnetz und VPN erreichen

« on: July 05, 2024, 11:20:20 pm »

Hallo an die Runde,

ich möchte ein Synology NAS, welches sich in einem eigenen LAN Netz befindet, über Rechner aus einem VLAN sowie über VPN (Wireguard Verbdindung für Smartphone und IPSec Site 2 Site zu zweiter Opnsense) erreichen.

VLANPCundSmartphone 10.10.2.1 mit dem Windows Notebook 10.10.2.20 am Opnsense Anschluss ETH2
Netzwerk NAS 10.10.20.1 mit dem Synology NAS 10.10.20.21 am Opnsense Anschluss ETH3+4 (Bridge)

Liegen Windows PC und das Synology NAS im identen Netz (Anschluss an ETH3 und ETH4), kann ich problemlos auf das NAS (Disk Station Manager) zugreifen.

Wechsle ich mit dem PC in ein anderes Netzwerk (VLAN), funktioniert kein Zugriff mehr. Ping vom PC aufs NAS ist ebenso nicht mehr möglich.
Im Anhang meine Firewall Regeln.

Benötigt der Zugriff auf ein NAS vielleicht weitere (ausgehende) FW-Regeln oder eine NAT Portweiterleitung?

Danke im Vorhinein für Eure Hinweise!

Grüße
neuling10

7

General Discussion / Re: UDP Broadcast Relay

« on: July 05, 2024, 10:49:41 pm »

I use the UDP Broadcast Relay successfully for AirPrint and AirPlay - thank you very much for this very helpful plugin   

Unfortunately, I am unable to connect to my Somneo WakeUp Light using the Philips SleepMapper iOS app. Has anyone managed to set up VLAN broadcasting with the WakeUp Light?

Problem solved: A firewall rule was missing on LAN and VLAN net:
IPv4 ICMP   VLAN Netzwerk   *   Diese Firewall   *   *   *

8

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 30, 2024, 01:39:27 pm »

Noch eine weitere Einstellung, die wichtig war:
Bei der Erstkonfiguration im Adguardhome Webinterface mussten die Listen interfaces auf "All interfaces" und Port 53 gestellt werden.
Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.

9

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 29, 2024, 05:01:07 pm »

Hi Patrick,

ich hatte da mit einem anderen VPN Problem in Kombination mit IPSec und Wireguard zu tun und hatte das irgendwo bei Recherchen vernommen. Ehrlich gesagt konnte ich mit der Erklärung "If this option is set, Unbound will synthesize AAAA records from A records if no actual AAAA records are present." als Neuankömmling in Sachen Netzwerktechnik und Opnsense noch nichts anfangen und hatte vergessen die Einstellung wieder rückzusetzen, als ich das VPN Problem gelöst hatte.
Mittlerweile weiß ich , dass es hier um IPv6 DNS Zuordnung geht - danke für den Hinweis, man lernt jeden Tag dazu 

10

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 29, 2024, 04:36:28 pm »

Meine Rules am WAN Port sehen folgendermaßen aus.
In allen LAN / VLAN Netzen, die ins Internet sollen, hab ich eine Rule zu DNS aktiv.

Achtung weiters:
Nimm unter Unbound DNS - Allgemein das Häkchen bei "DNS64 Unterstützung einschalten" wieder raus => das hat mich nun 3 Tage gekostet, da durch diese Einstellung meine Home Connect Haushaltsgeräte keine Verbindung aufbauen konnte, ich den Fehler jedoch woanders vermutet hatte.

Ansonsten müssten alle Einstellungen passen, die du gepostet hast.

11

General Discussion / Re: UDP Broadcast Relay

« on: June 27, 2024, 08:49:21 am »

Another question: Is there any way to find out the required broadcast address and port?

My household devices also require multicast routing. mDNS and SSDP unfortunately doesn't work

12

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 26, 2024, 03:50:36 pm »

Hi,
probier mal den private inverse DNS Server von 127.0.0.1:53053 (Standard) auf die IP deiner Opnsense zu ändern

13

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 24, 2024, 06:57:26 pm »

Hi,

ich habs mit meiner Konfig verglichen, dabei ist mir folgendes aufgefallen:
- Hast du im Adguard Webinterface unter Private inverse DNS-Server ebenso IP:53053 eingetragen?
- Im Unbound Service hab ich
   - DNS64 Support aktiviert
   - "Do not register IPv6 Link-local addresses" aktiviert (nutze keineIPv6 Adressen)
   - ausgehende Netzwerkschnittstellen auf "Alle" gesetzt
- Im Unbound over TLS habe ich zusätzlich folgenden Eintrag (sollte aber mit deinen 3 Einträgen auch funktionieren):
    - 1.1.1.3   853   cloudflare-dns.com
- Hast du FW-Regeln am WAN Port angelegt für alle DNS Adressen? Also z.B.:
IPv4 TCP/UDP   149.112.112.112   853   WAN_Kabel Adresse   *   *   *      QUAD9 TLSDNS response for UnboundDNS
- Unter AdGuard Primary DNS aktiviert

14

General Discussion / Re: UDP Broadcast Relay

« on: June 19, 2024, 08:26:23 pm »

I use the UDP Broadcast Relay successfully for AirPrint and AirPlay - thank you very much for this very helpful plugin   

Unfortunately, I am unable to connect to my Somneo WakeUp Light using the Philips SleepMapper iOS app. Has anyone managed to set up VLAN broadcasting with the WakeUp Light?

15

German - Deutsch / Re: Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

« on: June 10, 2024, 09:16:42 pm »

Vielen Dank für die Hinweise, @Tuxtom007 und @userbenutzer

Ich habe nun seit einigen Wochen Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome erfolgreich am Laufen.

Folgendes musste ich noch ändern:
- Port auf 53053 geändert
- Unter Unbound DNS -> DNS over TLS habe ich cloudflare Hosts eingetragen
- Unter Adguardhome -> Allgemein habe ich Primary DNS aktiviert
- Im Adguard Webinterface habe ich den Upstream DNS Server und den Private inverse DNS-Server ergänzt mit Port :53053

Ergänzung nach einigen Tests und einigen Wochen Beobachtung:
Durch Firewall Rules & Aliase habe ich Gruppen gebildet, die ich vom Web Proxy ausschließe (z.B. Notebook, auf dem ohnehin eine Anti-Viren Software läuft oder Devices, die sich nicht durch den Web Proxy leiten kann