Messages

Tja, das ist deckungsgleich mit dem, was Du von außen gesehen hast. Mir ist immer noch schleierhaft, was auf Ports 8080,8112,8228 und 1011 läuft.

Port 137 und 139 könnten aus Sicherheitsgründen vom Provider geblockt sein, weshalb Du die von intern nicht mehr siehst.
3128 ist der Squid-Proxy, 80 und 443 wahrscheinlich das Web-UI Deiner OpnSense. Anscheinend alle offen.

Das können an sich nur Floating-, WAN- oder Portweiterleitungsregeln sein, die fehlerhaft angelegt sind. Per Default lässt OpnSense nichts rein.

Was mich etwas entspannt, ist der Test von pentest-tools.com. Würde es trotzdem gern verstehen, wie das zustande kommt.

Du hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.

Stimmt, der komplette Scan läuft.

Host is up (0.0010s latency).
Not shown: 65528 filtered tcp ports (no-response)
PORT      STATE SERVICE    VERSION
80/tcp    open  tcpwrapped
443/tcp  open  tcpwrapped
3128/tcp  open  tcpwrapped
8080/tcp  open  tcpwrapped
8118/tcp  open  tcpwrapped
8228/tcp  open  tcpwrapped
10011/tcp open  tcpwrapped

NSE: Script Post-scanning.
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed
Initiating NSE at 18:02
Completed NSE at 18:02, 0.00s elapsed

Du hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.

Stimmt, der komplette Scan läuft.

Der Port Scanner (Light) von https://pentest-tools.com hat beim Top 100 Test keinen offenen Port gefunden.

Du hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.

Stimmt, der komplette Scan läuft.

Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?

Nein

Dann sind noch zwei weitere Fragen offen: Was zeigt der DS-Lite Test und was passiert, wenn Du von innen scannst?

Außerdem kannst Du auch von zu Hause einen solchen Scan anstoßen, z.B. hier: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap

Ich denke immer noch, dass die Ergebnisse auf eine Fehlmessung hindeuten, weil sie offene Ports anzeigt, wo gar keine sind. Selbst, wenn Du eine Fehlkonfiguration hättest, gibt es nicht solche Ergebnisse.

Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?

Von innen auf die LAN-IP der Sense:
Not shown: 994 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
3128/tcp open  squid-http
8080/tcp open  http-proxy

von innen auf die WAN-IP:
Not shown: 996 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
3128/tcp open  squid-http
8080/tcp open  http-proxy

Die Testseite zeigt mir meine v4 Adresse und wird bei v6 nicht fertig. ("Warte auf IPv6")

von einem anderen Anschluss

Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?

Bin jetzt wieder @home, das muss ich in der nächsten Woche mal nachreichen.

Beides.

1&1 VDSL macht teilweise DS-Lite. Du würdest es typischerweise daran sehen, dass die in OpnSense angezeigte WAN-IP eine aus dem Bereich 100.64.0.0/10 oder eine RFC1918 ist. Diese unterscheidet sich oft auch von der IP, die nach außen sichtbar wird, wenn man Verbindungen aufbaut.
Das würdest Du sehen, wenn bei https://wieistmeineip.de eine andere WAN-IP angezeigt wird als in Deinem Dashboard.

Es gibt hier auch einen Test dafür: https://ip.zuim.de/

Wenn das kein voller Dual-Stack ist, dann hast Du ein Router-behind-Router-Szenario, bei dem Du Dir die WAN-IP mit mehreren Kunden teilst. Es ist dabei nicht möglich, einen Port per IPv4 weiterzuleiten (der wäre nur für den Provider selbst erreichbar), bzw. bewirkt es nichts.

Bei Scans von außen erreichst Du also gar nicht Deine OpnSense, sondern den vorgeschalteten Router.

Die im Dashboard angezeigte IP stimmt mit der von https://wieistmeineip.de überein.

Scan mal von innen Deine OpnSense. Ich wüsste nicht, wie die Ports 8080, 8118, 137,139 usw. überhaupt auftauchen sollten, weil die ja schon lokal nicht offen sind - wie also von außen?

Hast Du die richtige IP gescannt? Hast Du einen DS-Lite-Anschluss?

Den Scan von innen auf die LAN-IP meiner OPNSense oder von innen auf die WAN-IP der Sense? Die gescannte IP hat gepasst. Was DS-Lite betrifft, wie würde ich das erkennen?

Host is up (0.0012s latency).

Zur Topologie: VDSL

Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.

Den Wert habe ich auch nicht erwartet. Fakt ist, ich habe meine WAN-IP von einem anderen Anschluss mit anderer WAN-IP gescannt.

Moin, wie im Titel geschrieben von Extern - anderes WAN ungleich meinem Anschluss. Zu den geöffneten Ports muss ich ergänzen, dass meine Telefonanlage (Fritz!Box in einem VLAN hinter der OPNSense) mit meinem Provider (VDSL 1&1) spricht - klappt alles bestens. Die Fritz!Box macht nur Telefonie, alles andere übernehmen weitere Geräte.


Zur Topologie: VDSL-> Vigor167 mit PPPoE passthrough -> WAN-Port OPNNSense -> 10Gbit Fiber VLAN 1 bis x tagged an Switch (Zyxel XMG1915-18EP).

Hallo zusammen,

bis auf Wireguard habe ich nicht wissentlich Ports geöffnet, nmap ist da jedoch anderer Meinung.

Host is up (0.0012s latency).
Not shown: 65526 filtered tcp ports (no-response)
PORT      STATE  SERVICE     VERSION
80/tcp    open   http?
137/tcp   closed netbios-ns
139/tcp   closed netbios-ssn
443/tcp   open   https?
3128/tcp  open   squid-http?
8080/tcp  open   http-proxy?
8118/tcp  open   privoxy?
8228/tcp  open   unknown
10011/tcp open   unknown

Woran könnte das liegen?

VG
Peter

Hallo zusammen,

nach dem letzten Update auf 24.7.3_1 zeigen die Thermalsensoren dev.cpu.x.temperature jeweils Werte nahe 100 Grad an. Nur der Sensor dev.pchterm.0.temperature hat noch die bisher üblichen Werte um die 54 Grad. Hat jemand ähnliche Erfahrungen seit dem Update oder muss ich mir hier um meine Hardware sorgen machen?

VG
Peter

Es gibt neue Erkenntnisse. Gerade gab es wieder dieses Fehlerbild. Also per Wireguard auf die GUI zugegriffen und diesmal nur suricata neugestartet. Danach bekamen die Clients wieder eine IP per DHCP und alles läuft. - erstmal wieder

Alle leases expired?!?!? Auf einmal?!?!?

das sieht für mich so aus

Was ist im DHCP-Log?

Jedenfalls finde ich keine Fehlermeldungen. Erst wenn ich auf "Informational" stelle, gibt es Einträge. Der Zeitsprung markiert eventuell die Zeitspanne, wo nichts mehr ging.

2024-07-18T05:00:23   Informational   dhcpd   Internet Systems Consortium DHCP Server 4.4.3-P1   
2024-07-17T23:09:04   Informational   dhcpd   Wrote 49 leases to leases file.

Wie ist das konfiguriert? Jede MAC bekommt eine fixe IP? Oder totally random?

drei Geräte bekommen eine statische zugewiesen, der Rest dynamisch