Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - kkk

#1
Hallo zusammen,

wir setzen OPNsense in der Version 26.1.10-amd64 auf FreeBSD 14.3-RELEASE-p15 mit OpenSSL 3.0.21 ein.

Unsere Umgebung besteht aus einem kleinen Außenstandort, der über einen WireGuard-Tunnel mit unserem Unternehmensstandort verbunden ist. Für den Remote-Zugriff der einzelnen Benutzer verwenden wir einen OpenVPN-Server auf der OPNsense. Die VPN-Verbindungen funktionieren problemlos und der gesamte Netzwerkverkehr wird wie gewünscht übertragen.

Nun möchten wir den Netzwerkverkehr in Zenarmor bzw. den Live Sessions detaillierter auswerten. Aktuell sehen wir zwar im Dashboard, dass ein Client Netzwerkverkehr erzeugt (nur im 192.168.34.0 Netz), erhalten jedoch keine weiterführenden Informationen darüber, welcher Client welche Verbindungen aufbaut oder welche Anwendungen bzw. Ziele genutzt werden. Wir möchten gerne ebenfalls das openVPN Netz überwachen.

Wir verwenden Zenarmor 2.6. Als überwachte Interfaces sind aktuell folgende konfiguriert:

vtnet1 (LAN)
ovpns1 (OpenVPN Server)

Hat jemand eine Idee, ob hierfür eine zusätzliche Konfiguration erforderlich ist oder ob wir möglicherweise ein falsches Interface überwachen? Ziel ist es, den Datenverkehr der einzelnen OpenVPN-Clients in Zenarmor bzw. den Live Sessions eindeutig den jeweiligen Clients zuordnen und detailliert analysieren zu können.


Zur besseren Übersicht hier ein kurzer Überblick über unsere Netzwerktopologie:

192.168.6.103 ist aktuell ein TP-Link MR6400 4G Router, über den der Standort die Internetverbindung aufbaut. Dieser ist nur für die aktuellen Testzwecke.
192.168.34.0/24 ist unser lokales Standard-LAN.
192.168.214.0/24 ist das Netzwerk, das für die OpenVPN-Clients verwendet wird.
192.168.240.0/24 ist das Netzwerk des WireGuard-Tunnels zwischen dem Außenstandort und unserem Unternehmensstandort.

       
                          Internet
                              │
                 TP-Link MR6400 (192.168.6.103)
                              │
                              │
                    WAN 192.168.6.104
                   ┌─────────────────┐
                        │    OPNsense              │
                        │                                     │
                        │ ZenArmor 2.6           │
                        └─────────────────┘
                                            │             │
        überwacht ✔          │            │
          vtnet1                       │            └────────────── WireGuard
   LAN 192.168.34.0/24    │                                 192.168.240.0/24
                                             │
                                             │
                OpenVPN Server (ovpns1) ✔ überwacht
                  VPN 192.168.214.0/24
                                             │
                      ┌─────────┴─────────┐
                      │                                            │
         VPN-Client A                       VPN-Client B
        192.168.214.2



root@OPNsense:~ # sockstat -4 -l
USER     COMMAND    PID   FD  PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
unbound  unbound    41002 5   udp4   127.0.0.1:53          *:*
unbound  unbound    41002 6   tcp4   127.0.0.1:53          *:*
unbound  unbound    41002 11  udp4   192.168.34.245:53     *:*
unbound  unbound    41002 12  tcp4   192.168.34.245:53     *:*
unbound  unbound    41002 13  udp4   192.168.214.1:53      *:*
unbound  unbound    41002 14  tcp4   192.168.214.1:53      *:*
unbound  unbound    41002 15  udp4   192.168.240.10:53     *:*
unbound  unbound    41002 16  tcp4   192.168.240.10:53     *:*
unbound  unbound    41002 17  udp4   127.0.0.1:53          *:*
unbound  unbound    41002 18  tcp4   127.0.0.1:53          *:*
unbound  unbound    41002 23  udp4   192.168.34.245:53     *:*
unbound  unbound    41002 24  tcp4   192.168.34.245:53     *:*
unbound  unbound    41002 25  udp4   192.168.214.1:53      *:*
unbound  unbound    41002 26  tcp4   192.168.214.1:53      *:*
unbound  unbound    41002 27  udp4   192.168.240.10:53     *:*
unbound  unbound    41002 28  tcp4   192.168.240.10:53     *:*
unbound  unbound    41002 29  tcp4   127.0.0.1:953         *:*
root     sshd       56339 6   tcp4   192.168.214.1:22      *:*
root     sshd       56339 7   tcp4   192.168.34.245:22     *:*
root     sshd       56339 10  tcp4   127.0.0.1:22          *:*
root     ntpd       51299 21  udp4   *:123                 *:*
root     ntpd       51299 22  udp4   192.168.6.104:123     *:*
root     ntpd       51299 23  udp4   192.168.34.245:123    *:*
root     ntpd       51299 26  udp4   127.0.0.1:123         *:*
root     ntpd       51299 27  udp4   192.168.214.1:123     *:*
root     ntpd       51299 28  udp4   192.168.240.10:123    *:*
root     openvpn    54255 9   udp4   *:1194                *:*
root     eastpect   41304 30  udp4   *:*                   *:*
root     eastpect   41304 32  udp4   *:*                   *:*
root     eastpect   40772 30  udp4   *:*                   *:*
root     eastpect   40772 32  udp4   *:*                   *:*
zabbix   zabbix_age 70761 4   tcp4   *:10050               *:*
zabbix   zabbix_age 70202 4   tcp4   *:10050               *:*
zabbix   zabbix_age 69529 4   tcp4   *:10050               *:*
zabbix   zabbix_age 69508 4   tcp4   *:10050               *:*
zabbix   zabbix_age 67796 4   tcp4   *:10050               *:*
root     crowdsec      20 17  tcp4   127.0.0.1:8080        *:*
root     crowdsec      20 20  tcp4   127.0.0.1:6060        *:*
nobody   dnsmasq    57074 4   udp4   *:67                  *:*
nobody   dnsmasq    57074 8   udp4   *:53053               *:*
nobody   dnsmasq    57074 9   tcp4   *:53053               *:*
root     lighttpd   42173 7   tcp4   *:443                 *:*
?        ?          ?     ?   udp4   *:6695                *:*

Wenn ich Infos unterschlagen habe, dann werde ich diese natürlich schnellst möglich nachreichen.
Vielen Dank für's Überfliegen.

kkk