Messages

1

German - Deutsch / Re: Wie kann ich das Web GUI Zertifikate erneuern?

« on: April 09, 2021, 12:56:29 pm »

Kein klassischer DynDNS Service soweit ich weiß, weil Mic wie ich eine Subdomain seiner eigenen Domain dafür nutzt. Diese dann bspw. bei Cloudflare registriert (für DNS Verwaltung) und dann mit ACME Client schlicht DNS01 Variante statt irgendwelcher Web-Überprüfung nutzen. Geht schneller und wesentlich problemloser als das WEB01 Geraffel bei dem eine URL erzeugt und geprüft wird. Die Prüfung via DNS mit TXT Record klappt dann auch ohne dass die Domain aktiv via A Record erreichbar sein muss, was der große Vorteil für eine intern genutzte Domain ist, die eben nicht nach außen leaken soll.

Aber ansonsten, ja richtig

2

German - Deutsch / Re: VMWare NIC Zuordnung zu VMX

« on: April 09, 2021, 12:53:21 pm »

> wie kann ich beeinflussen wie die NICs von OPNsense eingebunden werden bzw. das anpassen?

Eigentlich gar nicht. Aber die NICs werden normalerweise so sortiert, dass die kleinste MAC Adresse das erste Interface ist. Schau dir mal die MAC der NIC4 an, ob die random von vmware kleiner als die anderen 3 gewürfelt wurde. Ansonsten lass sie nochmal neu würfeln oder definiere welche selbst (natürlich mit Check dass die nicht schon irgendwo in use ist) dann sollte die auch brav als 4. NIC mit vmx3 auftauchen statt sich zu vmx0 reinzumogeln.

CHeers

3

German - Deutsch / Re: Ich benötige ein paar Tipps bezüglich DHCP, Plugins und Firewall :)

« on: April 09, 2021, 12:51:18 pm »

Es ist wiefolgt: Ich habe drei Xbox(es) zuhause. Hin und wieder spiele ich gleichzeitig mit meiner Familie ein und dasselbe Spiel. Da kam es, z. B bei Tom Clancy's Ghost Recon Breakpoint, zu Serverkonflikten. Ich habe mich dann ein wenig schlau gemacht und herausgefunden dass man derartige Probleme mit dezidierten (getrennten) Portzuweisungen, seitens der Konsole als auch des Routers, lösen kann. Das hat tlw. beim Speedport geklappt, war aber auch störanfällig. Meine Vermutung ist, dass der Speedport schlichtweg für ein derartiges Szenario nicht vorgesehen ist.

Also bevor ich irgendwelche wilden Ports an irgendwelche XBoxen freigebe, würde ich erstmal hinterfragen OB das sein muss. Bei Spielen genügen meistens 2 Punkte:

a) static Port outbound NAT zu nutzen für die IPs der Konsolen
b) ggf. noch uPNP/NATPnP Daemon für die Konsolen bzw. das LAN/Subnetz konfigurieren

Allein mit static Port bekommt man meistens statt strict NAT (Typ 3) bereits ein NAT Type 2 von den Konsolen zurück was für die allermeisten ordentlich Server nutzenden Spiele völlig ausreicht.
Ich hab hier 3 PS4s die zusammen Ghost Recon Wildlands, Breakpoint und auch Destiny (1/2) oder Division (1/2) problemlos(!) aus dem gleichen Netzsegment miteinander gezockt haben ohne irgendwelchen Probleme.

Ich lese da immer wieder sowohl bei pfSense als bei OPNsense irgendwelche Horrorstories was alles nicht geht und wie Leute dann wild irgendwelche Ports eingehend auf irgendwelche Konsolen/PCs NATten damit das geht weil das irgendwo(TM) vom Spiel empfohlen wird. Ich hab das in 20 Jahren Gaming nicht einmal gebraucht. Und gerade das genannte Beispiel kann ich definitiv sagen, dass es gerade bei den Ubi Titeln (aktuell bspw. WD Legions) nie ein Problem gab.

Cheers

4

German - Deutsch / Re: OPNsense / *sense (Online) Usergroup?

« on: April 09, 2021, 12:43:28 pm »

So wieder ein Monat rum, heute Nachmittag ist wieder eine Laberrunde. Hoffe ihr habt den Termin nicht vergessen

5

German - Deutsch / Re: Teredo Online Services

« on: April 04, 2021, 03:14:37 pm »

Verstehe das Problem auch nicht wirklich. Teredo kann man komplett deaktivieren und habe keinen PC oder eine Konsole (ja auch ne Xbox) die das braucht. Wie gesagt wird Teredo nur genutzt um via v6 dann eben ne Verbindung zu MS zu bauen um dann darüber ne v4 zu haben wo ggf. Spiele gegen connecten können. Aber ich habe hier auch PCs, Laptops oder ne XBox, die in einem Netz ohne IPv6 existieren und bei denen explizit Teredo aus ist(!) und die fröhlich alle möglichen Spiele spielen, auch zusammen. Solange wir da also nicht mehr Infos haben, kann da IMHO keiner wirklich was zu sagen, was dein Problem ist. Ich bezweifle aber eher, dass es an der Sense liegt.

6

German - Deutsch / Re: Opnsense auf einem Dell T40 mit Proxmox

« on: April 04, 2021, 03:10:57 pm »

Also kurz zwei, drei Sidenotes dazu:

* UniFi Controller braucht er immer, auch wenn er nur Switche hat (Weil jemand schrieb, bei WLAN bräuchte man den. Nein, UniFi ist SDN - software defined networking bei Ubiquiti. Das braucht immer den Controller zumindest zum Einrichten, egal ob Switche, USG oder WiFi )
* Vorteil der Sense ggü USG: Oh boy, wo soll man da anfangen? Die USG hat keinen gescheiten DNS Forwarder/Resolver/Dienst, den man auch nur minimal konfigurieren kann? DHCP ist ein Krampf weil im Controller nicht wirklich einfach einsehbar. DHCP Reservierungen sind umständlich weil man die direkt am Gerät konfiguriert. Fehlende Flexibilität. Regelwerk/NAT sind IMHO wesentlich umständlicher/komplexer zu konfigurieren als bei den Sensen, weil das dort mMn viel transparenter und klarer dargestellt ist, was wo wie warum erlaubt ist. Etc. etc. Bei einem direkten Vergleich von USG mit egal welcher Sense würde für mich die USG - selbst als USG Pro - komplett absaufen. Einzig die IDS/IPS Geschichte ist durch den Controller natürlich schöner und zentraler - genauso wie die Verbindungsdaten und Speedtests etc. in die UI integriert sind - dargestellt als ohne USG. Aber das ist verschmerzbar wenn man die vielen Vorteile der Sense ggf. mit FreeRadius und Co noch mit an Bord hat um Radius Based VLANs im LAN (switchen) oder via WiFi zu machen.
* Ich persönlich würde HW der VM vorziehen oder zumindest auf der HW nur die Firewall(s) haben wollen, aber das ist rein persönliches Gusto und weil ichs leider viel zu oft erlebe, dass dann bspw. am Hypervisor gespielt oder upgedated wird, dann läuft was nicht mehr und BÄM ist das komplette Netz inkl. Internet tot. Und dann kann man auch nicht mal eben schnell wieder im Netz was runterladen zum Fixen Das sollte man IMMER bedenken, wenn man "sparen" will. Egal ob Geräte, Strom oder sonstwas. Im dümmsten Fall liegt man da und nichts geht mehr. Dann sollte man zumindest nen Plan B haben um das Fixen zu können

Cheers
\jens

7

German - Deutsch / Re: MTA mit OPNSense - Diskspace

« on: April 04, 2021, 03:02:11 pm »

Nein, da es IMHO keine/kaum mehr nennenswerte AV Software gibt, die unter FreeBSD läuft. Die meisten Hersteller konzentrieren sich da auf Windows und ggf. noch Linux. ClamAV ist da eben noch "besser als nix". Das letzte was ich noch kenne/kannte war BitDefender, was dann aber als Dauer-Broken irgendwann aus den Ports geflogen ist, das war mMn irgendwann 2017/2018 herum. Seither wüsste ich nicht, dass es noch kommerzielle AVs gibt die fertig unter FBSD laufen und man einfach installieren kann.

Vielleicht ist meine Info da aber auch veraltet. Es gab neben Bitdefendet mal Sophos oder Kaspersky noch, aber eine kurze Suche nach BSD oder FreeBSD dort gab ein sehr diffuses Bild, an dem ich jetzt nicht sagen könnte, "ja da gibts ein Produkt, dass man einfach installieren und in Prozesse einbinden kann".

8

German - Deutsch / Re: Kein Zugriff auf Web / SSH / Console

« on: April 04, 2021, 02:49:31 pm »

Kurzer Tipp:

Bei SSL Fehlern in Chrome-artigen Browsern, die KEINE Schaltfläche oder Möglichkeit bieten "trotzdem weiter" zu sagen (IMHO konnte das Edge und Edgium noch), kann man einfach

thisisunsafe

eingeben. Einfach wenn nichts markiert ist. Also einfach tippen wenn der Browser offen ist, nicht in die URL Zeile oder sonstwas. Kann man testen unter bspw.

https://revoked.badssl.com/

für ein zurückgezogenes Zertifikat oder generell einen Fehler testen von

https://badssl.com/

Viele Fehler kann man in Chrome(iums Browsern) übergehen, indem man "thisisunsafe" tippt, allerdings nicht alle. Wenn der Browser den verwendeten Cipher bspw. gar nicht mehr kennt/kann, dann hilft auch kein "Override".
Aber der Tipp kann helfen, wenn mal wieder ACME o.ä. nicht gelaufen ist und das Zertifikat bspw. abgelaufen ist. Und bei HSTS geschützten Seiten ist ein expired Zertifikat dann eben "game over"

9

German - Deutsch / Re: MTA mit OPNSense - Diskspace

« on: April 04, 2021, 02:34:24 pm »

Aaah. Also nur als Mailproxy/Scanner einsetzen? Gut, ClamAV hat jetzt nicht die großartigste Erkennung aber kann man sicher machen. Ansonsten sollten dann außer Quarantäne-Mails und Logs keine großen Daten auf der Kiste verbleiben. Dann solltest du mit moderatem Platz von 30-40 eigentlich recht locker hinkommen.

10

German - Deutsch / Re: Vlan, PPoe, Speedport 3 Telekom - Kein Internetzugang

« on: April 04, 2021, 02:21:49 pm »

Eine Ansicht wie dein WAN konfiguriert ist, wäre schon hilfreich. Der Satz mit dem "und danach WAN auf PPPoE gelegt" liest sich nämlich durchaus falsch. Nicht aufs WAN muss PPPoE, sondern auf das VLAN7 dass du davor eingerichtet hast. Nur das VLAN einrichten, dann aber PPPoE auf dem WAN zu machen bringt dich sonst nicht weiter

Cheers
\Jens

11

German - Deutsch / Re: High Availability (CARP)

« on: April 04, 2021, 02:16:57 pm »

Ist aber trotzdem ziemliches Gefriemel und zumindest mir bei einem Kunden schonmal knackig um die Ohren geflogen (hatte der Kunde eingerichtet, nicht wir ). Daher weise ich da ständig bei Anfragen, Aufträgen, Workshops etc. immer wieder drauf hin - lasst es einfach bleiben, CARP+HA auf zwei völlig unterschiedlichen Systemen zu machen. Und unterschiedlicher als HW und VM auf Hypervisor geht es kaum

Bin da ganz bei @mimugmail, wenn in der Konstellation, dann als Cold-Standby mit manuellem Konfig-Einspielen und notfalls dann eben VM hochfahren. Erspart dann auch Sucherei bei Problemen mit CARP bzw. Multicasts und warum die HW die VM ggf. nicht erreichen kann oder man plötzlich Split Brains hat etc. drektc.

Cheers
\jens

12

German - Deutsch / Re: MTA mit OPNSense - Diskspace

« on: April 04, 2021, 02:14:39 pm »

Hatte jetzt gerade überlegt warum so viel Platz und erst nicht verstanden, dass @vpnuser wirklich Mails auf der Sense halten will. Würde ich mir STARK überlegen, ob ich wirklich echten Usertraffic auf einer Firewall haben will oder nicht. Da hat man dann eine ganz andere Angriffsfläche als beim Hauptnutzen als Security Appliance mit Firewall und ggf. noch Proxy. Aber nen kompletten Mailserver? Hmm.

Cheers
\jens

13

German - Deutsch / Re: Hilfe VOIP Deutsche Glasfaser

« on: April 04, 2021, 02:09:53 pm »

Man muss ein Thema nicht löschen, weil es schnell gelöst wurde. Ein Hinweis, was es war bzw. welcher Post oder was auch immer die Lösung war, hilft allen. Bitte nicht immer alles gleich löschen oder lösch-reports erstellen

Danke!

14

German - Deutsch / Re: Karlsruher IPv6-Stammtisch am Dienstag, 16.03. ab 19:00 - Remote!

« on: March 18, 2021, 01:25:29 pm »

Ich vermute mal @fpfka ?

15

German - Deutsch / Re: Karlsruher IPv6-Stammtisch am Dienstag, 16.03. ab 19:00 - Remote!

« on: March 18, 2021, 12:41:22 pm »

> Gute Besserung, Jens. Ich kenn denn Sch ... Kannst nach der Pandemie zu mir ins Iaido kommen, das hilft.

Momentan erstmal in der Wirbelsäulentherapie und heute Schmerzen/Muskelkater der Hölle nach Einrenken gestern. Man könnte meinen es wurde mehr kaputt als ganz gemacht 

Den Vortrag gibts nicht zum nachlesen/hören/schauen?