Hallo zusammen,
wir setzen OPNsense in der Version 26.1.10-amd64 auf FreeBSD 14.3-RELEASE-p15 mit OpenSSL 3.0.21 ein.
Unsere Umgebung besteht aus einem kleinen Außenstandort, der über einen WireGuard-Tunnel mit unserem Unternehmensstandort verbunden ist. Für den Remote-Zugriff der einzelnen Benutzer verwenden wir einen OpenVPN-Server auf der OPNsense. Die VPN-Verbindungen funktionieren problemlos und der gesamte Netzwerkverkehr wird wie gewünscht übertragen.
Nun möchten wir den Netzwerkverkehr in Zenarmor bzw. den Live Sessions detaillierter auswerten. Aktuell sehen wir zwar im Dashboard, dass ein Client Netzwerkverkehr erzeugt (nur im 192.168.34.0 Netz), erhalten jedoch keine weiterführenden Informationen darüber, welcher Client welche Verbindungen aufbaut oder welche Anwendungen bzw. Ziele genutzt werden. Wir möchten gerne ebenfalls das openVPN Netz überwachen.
Wir verwenden Zenarmor 2.6. Als überwachte Interfaces sind aktuell folgende konfiguriert:
vtnet1 (LAN)
ovpns1 (OpenVPN Server)
Hat jemand eine Idee, ob hierfür eine zusätzliche Konfiguration erforderlich ist oder ob wir möglicherweise ein falsches Interface überwachen? Ziel ist es, den Datenverkehr der einzelnen OpenVPN-Clients in Zenarmor bzw. den Live Sessions eindeutig den jeweiligen Clients zuordnen und detailliert analysieren zu können.
Zur besseren Übersicht hier ein kurzer Überblick über unsere Netzwerktopologie:
192.168.6.103 ist aktuell ein TP-Link MR6400 4G Router, über den der Standort die Internetverbindung aufbaut. Dieser ist nur für die aktuellen Testzwecke.
192.168.34.0/24 ist unser lokales Standard-LAN.
192.168.214.0/24 ist das Netzwerk, das für die OpenVPN-Clients verwendet wird.
192.168.240.0/24 ist das Netzwerk des WireGuard-Tunnels zwischen dem Außenstandort und unserem Unternehmensstandort.
Internet
│
TP-Link MR6400 (192.168.6.103)
│
│
WAN 192.168.6.104
┌─────────────────┐
│ OPNsense │
│ │
│ ZenArmor 2.6 │
└─────────────────┘
│ │
überwacht ✔ │ │
vtnet1 │ └────────────── WireGuard
LAN 192.168.34.0/24 │ 192.168.240.0/24
│
│
OpenVPN Server (ovpns1) ✔ überwacht
VPN 192.168.214.0/24
│
┌─────────┴─────────┐
│ │
VPN-Client A VPN-Client B
192.168.214.2
root@OPNsense:~ # sockstat -4 -l
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
unbound unbound 41002 5 udp4 127.0.0.1:53 *:*
unbound unbound 41002 6 tcp4 127.0.0.1:53 *:*
unbound unbound 41002 11 udp4 192.168.34.245:53 *:*
unbound unbound 41002 12 tcp4 192.168.34.245:53 *:*
unbound unbound 41002 13 udp4 192.168.214.1:53 *:*
unbound unbound 41002 14 tcp4 192.168.214.1:53 *:*
unbound unbound 41002 15 udp4 192.168.240.10:53 *:*
unbound unbound 41002 16 tcp4 192.168.240.10:53 *:*
unbound unbound 41002 17 udp4 127.0.0.1:53 *:*
unbound unbound 41002 18 tcp4 127.0.0.1:53 *:*
unbound unbound 41002 23 udp4 192.168.34.245:53 *:*
unbound unbound 41002 24 tcp4 192.168.34.245:53 *:*
unbound unbound 41002 25 udp4 192.168.214.1:53 *:*
unbound unbound 41002 26 tcp4 192.168.214.1:53 *:*
unbound unbound 41002 27 udp4 192.168.240.10:53 *:*
unbound unbound 41002 28 tcp4 192.168.240.10:53 *:*
unbound unbound 41002 29 tcp4 127.0.0.1:953 *:*
root sshd 56339 6 tcp4 192.168.214.1:22 *:*
root sshd 56339 7 tcp4 192.168.34.245:22 *:*
root sshd 56339 10 tcp4 127.0.0.1:22 *:*
root ntpd 51299 21 udp4 *:123 *:*
root ntpd 51299 22 udp4 192.168.6.104:123 *:*
root ntpd 51299 23 udp4 192.168.34.245:123 *:*
root ntpd 51299 26 udp4 127.0.0.1:123 *:*
root ntpd 51299 27 udp4 192.168.214.1:123 *:*
root ntpd 51299 28 udp4 192.168.240.10:123 *:*
root openvpn 54255 9 udp4 *:1194 *:*
root eastpect 41304 30 udp4 *:* *:*
root eastpect 41304 32 udp4 *:* *:*
root eastpect 40772 30 udp4 *:* *:*
root eastpect 40772 32 udp4 *:* *:*
zabbix zabbix_age 70761 4 tcp4 *:10050 *:*
zabbix zabbix_age 70202 4 tcp4 *:10050 *:*
zabbix zabbix_age 69529 4 tcp4 *:10050 *:*
zabbix zabbix_age 69508 4 tcp4 *:10050 *:*
zabbix zabbix_age 67796 4 tcp4 *:10050 *:*
root crowdsec 20 17 tcp4 127.0.0.1:8080 *:*
root crowdsec 20 20 tcp4 127.0.0.1:6060 *:*
nobody dnsmasq 57074 4 udp4 *:67 *:*
nobody dnsmasq 57074 8 udp4 *:53053 *:*
nobody dnsmasq 57074 9 tcp4 *:53053 *:*
root lighttpd 42173 7 tcp4 *:443 *:*
? ? ? ? udp4 *:6695 *:*
Wenn ich Infos unterschlagen habe, dann werde ich diese natürlich schnellst möglich nachreichen.
Vielen Dank für's Überfliegen.
kkk
wir setzen OPNsense in der Version 26.1.10-amd64 auf FreeBSD 14.3-RELEASE-p15 mit OpenSSL 3.0.21 ein.
Unsere Umgebung besteht aus einem kleinen Außenstandort, der über einen WireGuard-Tunnel mit unserem Unternehmensstandort verbunden ist. Für den Remote-Zugriff der einzelnen Benutzer verwenden wir einen OpenVPN-Server auf der OPNsense. Die VPN-Verbindungen funktionieren problemlos und der gesamte Netzwerkverkehr wird wie gewünscht übertragen.
Nun möchten wir den Netzwerkverkehr in Zenarmor bzw. den Live Sessions detaillierter auswerten. Aktuell sehen wir zwar im Dashboard, dass ein Client Netzwerkverkehr erzeugt (nur im 192.168.34.0 Netz), erhalten jedoch keine weiterführenden Informationen darüber, welcher Client welche Verbindungen aufbaut oder welche Anwendungen bzw. Ziele genutzt werden. Wir möchten gerne ebenfalls das openVPN Netz überwachen.
Wir verwenden Zenarmor 2.6. Als überwachte Interfaces sind aktuell folgende konfiguriert:
vtnet1 (LAN)
ovpns1 (OpenVPN Server)
Hat jemand eine Idee, ob hierfür eine zusätzliche Konfiguration erforderlich ist oder ob wir möglicherweise ein falsches Interface überwachen? Ziel ist es, den Datenverkehr der einzelnen OpenVPN-Clients in Zenarmor bzw. den Live Sessions eindeutig den jeweiligen Clients zuordnen und detailliert analysieren zu können.
Zur besseren Übersicht hier ein kurzer Überblick über unsere Netzwerktopologie:
192.168.6.103 ist aktuell ein TP-Link MR6400 4G Router, über den der Standort die Internetverbindung aufbaut. Dieser ist nur für die aktuellen Testzwecke.
192.168.34.0/24 ist unser lokales Standard-LAN.
192.168.214.0/24 ist das Netzwerk, das für die OpenVPN-Clients verwendet wird.
192.168.240.0/24 ist das Netzwerk des WireGuard-Tunnels zwischen dem Außenstandort und unserem Unternehmensstandort.
Internet
│
TP-Link MR6400 (192.168.6.103)
│
│
WAN 192.168.6.104
┌─────────────────┐
│ OPNsense │
│ │
│ ZenArmor 2.6 │
└─────────────────┘
│ │
überwacht ✔ │ │
vtnet1 │ └────────────── WireGuard
LAN 192.168.34.0/24 │ 192.168.240.0/24
│
│
OpenVPN Server (ovpns1) ✔ überwacht
VPN 192.168.214.0/24
│
┌─────────┴─────────┐
│ │
VPN-Client A VPN-Client B
192.168.214.2
root@OPNsense:~ # sockstat -4 -l
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
unbound unbound 41002 5 udp4 127.0.0.1:53 *:*
unbound unbound 41002 6 tcp4 127.0.0.1:53 *:*
unbound unbound 41002 11 udp4 192.168.34.245:53 *:*
unbound unbound 41002 12 tcp4 192.168.34.245:53 *:*
unbound unbound 41002 13 udp4 192.168.214.1:53 *:*
unbound unbound 41002 14 tcp4 192.168.214.1:53 *:*
unbound unbound 41002 15 udp4 192.168.240.10:53 *:*
unbound unbound 41002 16 tcp4 192.168.240.10:53 *:*
unbound unbound 41002 17 udp4 127.0.0.1:53 *:*
unbound unbound 41002 18 tcp4 127.0.0.1:53 *:*
unbound unbound 41002 23 udp4 192.168.34.245:53 *:*
unbound unbound 41002 24 tcp4 192.168.34.245:53 *:*
unbound unbound 41002 25 udp4 192.168.214.1:53 *:*
unbound unbound 41002 26 tcp4 192.168.214.1:53 *:*
unbound unbound 41002 27 udp4 192.168.240.10:53 *:*
unbound unbound 41002 28 tcp4 192.168.240.10:53 *:*
unbound unbound 41002 29 tcp4 127.0.0.1:953 *:*
root sshd 56339 6 tcp4 192.168.214.1:22 *:*
root sshd 56339 7 tcp4 192.168.34.245:22 *:*
root sshd 56339 10 tcp4 127.0.0.1:22 *:*
root ntpd 51299 21 udp4 *:123 *:*
root ntpd 51299 22 udp4 192.168.6.104:123 *:*
root ntpd 51299 23 udp4 192.168.34.245:123 *:*
root ntpd 51299 26 udp4 127.0.0.1:123 *:*
root ntpd 51299 27 udp4 192.168.214.1:123 *:*
root ntpd 51299 28 udp4 192.168.240.10:123 *:*
root openvpn 54255 9 udp4 *:1194 *:*
root eastpect 41304 30 udp4 *:* *:*
root eastpect 41304 32 udp4 *:* *:*
root eastpect 40772 30 udp4 *:* *:*
root eastpect 40772 32 udp4 *:* *:*
zabbix zabbix_age 70761 4 tcp4 *:10050 *:*
zabbix zabbix_age 70202 4 tcp4 *:10050 *:*
zabbix zabbix_age 69529 4 tcp4 *:10050 *:*
zabbix zabbix_age 69508 4 tcp4 *:10050 *:*
zabbix zabbix_age 67796 4 tcp4 *:10050 *:*
root crowdsec 20 17 tcp4 127.0.0.1:8080 *:*
root crowdsec 20 20 tcp4 127.0.0.1:6060 *:*
nobody dnsmasq 57074 4 udp4 *:67 *:*
nobody dnsmasq 57074 8 udp4 *:53053 *:*
nobody dnsmasq 57074 9 tcp4 *:53053 *:*
root lighttpd 42173 7 tcp4 *:443 *:*
? ? ? ? udp4 *:6695 *:*
Wenn ich Infos unterschlagen habe, dann werde ich diese natürlich schnellst möglich nachreichen.
Vielen Dank für's Überfliegen.
kkk
"