Messages

Konfig auf Nextcloud mache ich auch; boot environments mache ich auch – beides hilft halt nicht, wenn der Datenträger ,,eingeht", bzw. werden gewisse ,,Dinge" (z.B. AdguardHome) mit der Konfig auch nicht gesichert – oder hat sich das in der Zwischenzeit mal geändert?

Naja, aufgrund fehlender inbound NAT-Regeln war nur die OpnSense selbst per IPv4 erreichbar. Und per IPv6 waren zwar alle Geräte erreichbar, aber deren EUI-64 muss man entweder sehen oder raten...

Trotzdem sollte man ein bisschen was davon verstehen, wenn man sich an so etwas wie OpnSense heranwagt. Am besten wäre es auch, die Wirkung von Block-Regeln mal zu testen, also selbst externe Portscans zu machen, um zu prüfen, ob so etwas nicht "aus Versehen" passiert ist.

Danke für den Tipp mit den Port-Scans.

Result: 90.146.xx.xxx
  ftp-data (20)   Not Available   Port 20 on 90.146.72.xxx ist geschlossen!
  ftp (21)   Not Available   Port 21 on 90.146.72.xxx ist geschlossen!
  ssh (22)   Not Available   Port 22 on 90.146.72.xxx ist geschlossen!
  telnet (23)   Not Available   Port 23 on 90.146.72.xxx ist geschlossen!
  smtp (25)   Not Available   Port 25 on 90.146.72.xxx ist geschlossen!
  (42)   Not Available   Port 42 on 90.146.72.xxx ist geschlossen!
  whois (43)   Not Available   Port 43 on 90.146.72.xxx ist geschlossen!
  domain (53)   Not Available   Port 53 on 90.146.72.xxx ist geschlossen!
  (67)   Not Available   Port 67 on 90.146.72.xxx ist geschlossen!
  (69)   Not Available   Port 69 on 90.146.72.xxx ist geschlossen!
  http (80)   Not Available   Port 80 on 90.146.72.xxx ist geschlossen!
  pop3 (110)   Not Available   Port 110 on 90.146.72.xxx ist geschlossen!
  (115)   Not Available   Port 115 on 90.146.72.xxx ist geschlossen!
  (123)   Not Available   Port 123 on 90.146.72.xxx ist geschlossen!
  (137)   Not Available   Port 137 on 90.146.72.xxx ist geschlossen!
  (138)   Not Available   Port 138 on 90.146.72.xxx ist geschlossen!
  netbios-ssn (139)   Not Available   Port 139 on 90.146.72.xxx ist geschlossen!
  imap2 (143)   Not Available   Port 143 on 90.146.72.xxx ist geschlossen!
  snmp (161)   Not Available   Port 161 on 90.146.72.xxx ist geschlossen!
  bgp (179)   Not Available   Port 179 on 90.146.72.xxx ist geschlossen!
  https (443)   Not Available   Port 443 on 90.146.72.xxx ist geschlossen!
  microsoft-ds (445)   Not Available   Port 445 on 90.146.72.xxx ist geschlossen!
  shell (514)   Not Available   Port 514 on 90.146.72.xxx ist geschlossen!
  (933)   Not Available   Port 933 on 90.146.72.xxx ist geschlossen!
  pop3s (995)   Not Available   Port 995 on 90.146.72.xxx ist geschlossen!
  socks (1080)   Not Available   Port 1080 on 90.146.72.xxx ist geschlossen!
  ms-sql-s (1433)   Not Available   Port 1433 on 90.146.72.xxx ist geschlossen!
  (3128)   Not Available   Port 3128 on 90.146.72.xxx ist geschlossen!
  (3268)   Not Available   Port 3268 on 90.146.72.xxx ist geschlossen!
  mysql (3306)   Not Available   Port 3306 on 90.146.72.xxx ist geschlossen!
  ms-wbt-server (3389)   Not Available   Port 3389 on 90.146.72.xxx ist geschlossen!
  (5900)   Not Available   Port 5900 on 90.146.72.xxx ist geschlossen!
  (5938)   Not Available   Port 5938 on 90.146.72.xxx ist geschlossen!
  http-alt (8080)   Not Available   Port 8080 on 90.146.72.xxx ist geschlossen!

Ich find ja - unter uns - echt spannend, wie du mit diesem Thema umgehst.

1. "Der Datenträger läuft voll" - das ist 4 Wochen her. Dass ein zentrales Stück Infrastruktur bei dir nicht funktioniert.
2. Wir hatten dann innerhalb von einem Kalendertag raus, dass die Logs von AdGuard Home "schuld" waren.
3. Dann hast du 3 Wochen gebraucht um im AdGuard Home UI (!) mal auf die Requests zu klicken und rauszufinden, dass das externe Adressen sind ...

Finde ich, gelinde gesagt, recht sportlich.

Ich würde jetzt meine OPNsense und jeden internen Host, bei dem das auch nur annähernd praktikabel ist, komplett löschen und neu installieren.

Du hast über einen knappen Monat alle deine internen Systeme von extern erreichbar gemacht.

Just sayin'

Na ja,
1. Es fällt kein Profi vom Baum - schon gar nicht, wenn man nix in der Richtung gelernt/studiert hat.
2. Habe ich neben dem "IT-Hobby" auch noch ein paar andere Dinge zu tun....
3. Im Nachhinein ist man immer "gescheiter" - wieder ein paar Dinge dazu gelernt.


Werde entsprechende Block-Listen auch "nach draußen" hinterlegen und bei den betreffenden PC's einen Scan laufen lassen.

Die WAN-Regeln habe ich korrigiert - Zugriffe sind jetzt wieder normal.

Hm, interessant - dann schiebe ich die WG-Regel mal von "floating" direkt aufs WAN-Interface.


Bei der Liveansicht sieht man aber, dass auch jetzt schon massig UDP-Anfragen geblockt.


Danke für deine bisherige Hilfe!


LG

WireGuard habe ich bei den "fließenden Regeln" hinterlegt - das fällt ja dann auch da rein, oder nicht?

Generell (abgesehen von meinem "allow" Fehler) wird das bei den HowTo's/Videos auch so eingerichtet.
Möchte halt die entsprechenden gefährlichen IP-Adressen/Länder blocken.


LG

Änderst du regelmäßig so viel an deiner Firewall - abgesehen von den Updates?

CloneZilla funktioniert ohne Probleme.

Einfach periodisch (z.B. jedes halbes Jahr) runterfahren; Datenträger via CloneZilla auf einen Reservedatenträger klonen - fertig, oder ein "Image" erstellen und dieses ablegen/sichern.

Exakt - die 3 WAN-Regeln sind ja alle allow statt deny. Das Netz ist weit offen und zwar ausgerechnet für die externen Adressen, die auf den 3 Listen drauf sind ...

Hm, sch.. - stimmt.
"rein" in die FW sollten ja genau diese Adressen "gesperrt" werden...
:o

Hab das vor einiger Zeit mal nach einem HowTo eingerichtet - mal sehen ob ich das noch finde - ob das dort dann falsch war, oder ob ich mich da irgendwo/irgendwie "verhaut" habe!

Danke!


D.h. diese 3 "WAN-in-Regeln" auf "block" - dann sollte es wieder passen.


In AGH sollten dann bei den Clients eigentlich nur mehr meine Geräte stehen, oder?

LG

Ich betreibe so etwas: Lenovo M720q Tiny + Riser-Adapter + Intel i350 NW-Karte


https://smallformfactor.net/forum/threads/lenovo-m720q-tiny-router-firewall-build-with-aftermarket-4-port-nic.14793/

Regeln WAN

Regeln fürs LAN/Heimnetzwerk (VLAN1)

"fließende" Regeln

So, hoffe ich habe alles.

grober Aufbau:

Kabelmodem im "bridge-modus" - stellt also nur das "Internet" zur Verfügung - Rest (DHCP,....) läuft alles über OPNSense.

Schnittstelle igb0 = vlan1 = mein lokales Heimnetzwerk (Notebooks / Server / .....)
opt2 = vlan20 = eigenes Netzwerk für Drucker
opt1 = vlan30 = eigenes Netzwerk für HomeOffice/Gäste - voller Zugriff aufs Internet und auf die Drucker

unbound läuft auf Port 5335 - dies ist auch so bei ADH hinterlegt (also: 192.168.1.1:5335)

Danke für euren bisherigen Input - werde mir das heute/morgen mal ansehen.

Interessant ist halt, dass ich das Problem erst seit Kurzem habe und ich selber nicht geändert habe => vermutlich wieder irgendwo etwas durch ein Update "verpfuscht"!?

So, Screenshot anbei.

Sorry für die "blöde" Frage - kenne mich da 0 aus - was sagt mir das jetzt, bzw. wie unterbindet man das!?

Das sind ja dann irgendwie externe "Abfragen", oder?
Meine "Geräte" haben ja alle "192.xxxxxxx".

Danke!

Muss ich am Abend probieren - irgendwie kam da beim letzten Mal nichts...