Messages

1

21.1 Legacy Series / need help on nextcloud-fpm

« on: July 07, 2021, 09:23:29 am »

Hi together,

i wanted to have nextcloud-fpm using nginx from nginx. I installed a usual Webserver on opnsense and configured "position"




Everything seems work, except that the webpage is delivered unformatted. What did i miss?

Thx,
Ruggerio

2

21.1 Legacy Series / 21.1.7: Problem with Freeradius

« on: June 17, 2021, 08:00:15 am »

Right after the upgrade, Freeradius does not start anymore:

Error: /usr/local/etc/raddb/mods-enabled/eap[15]: Instantiation failed for module "eap"   
2021-06-17T07:58:25       Error: rlm_eap (EAP): Failed to link rlm_eap_leap: Cannot open "/usr/local/lib/freeradius-3*/rlm_eap_leap.so"   
2021-06-17T07:58:25       Info: Debugger not attached   
2021-06-17T07:44:37       Error: /usr/local/etc/raddb/mods-enabled/eap[15]: Instantiation failed for module "eap"   
2021-06-17T07:44:37       Error: rlm_eap (EAP): Failed to link rlm_eap_leap: Cannot open "/usr/local/lib/freeradius-3*/rlm_eap_leap.so"   
2021-06-17T07:44:37       Info: Debugger not attached

Roger

3

German - Deutsch / Re: VLAN-Einrichtung - "Starthilfe" erbeten

« on: February 18, 2021, 02:24:24 pm »

Und btw. Du kannst jeden Port einzeln als VLAN einrichten auf der Sense. Geh dazu nach "Schnittstellen - Andere Typen - VLAN" - dort kannst du pro Interface eines oder mehrere VLAN einrichten. Einfach Schnittstelle auswählen, Tag einpflegen, Beschreibung dazu, done.

4

German - Deutsch / Re: VLAN-Einrichtung - "Starthilfe" erbeten

« on: February 18, 2021, 02:21:15 pm »

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Gib Dir hier mal den Teil "tagged VLAN".

<Zitat>
Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen
</Zitat>

Ich nehm an, dass es das ist was Du willst, mehrere separierte Netze über dasselbe Kabel laufen zu lassen.

Würde bedeuten, da Du nicht 2 Switches hast, die VLAN können, sondern das VLAN auf der APU einrichtest, eigentlich Du am Endgerät (im Zitat der Switch, bei dir wohl ein PC) das Tag (kann eine beliebige Nummer sein) auf der Netzwerkschnittstelle einpflegen musst.

Windows Clients und Server: https://www.thomas-krenn.com/de/wiki/Tagged_VLAN_Ethernet_Interfaces_in_Windows_konfigurieren

Ich mach das auch nur bastelmässig zuhause für ein paar Handies, Tablets und PC's. Der Aufwand dazu ist...nicht gerade ohne.

5

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 18, 2021, 02:04:06 pm »

Ich hab nicht mal mehr für die Server IDS/IDP aktiv. Mit den ganzen Firehol und ähnlichen Regeln fliegt da genug auf dem WAN bereits weg, was nicht hin soll.

Habe ausserdem mit ein wenig gefrickel meinen Web- und Mailserver hinter NGINX gehängt, der hat auch ne WAF. Auf dem Server läuft Fail2Ban.

Dürfte wohl paranoid genug sein. Mehr Sicherheit geht immer, am einfachsten ist noch immer Stecker ziehen.

6

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 17, 2021, 08:34:15 pm »

Spass muss srin 😀

Och hab aktuell ne APU4 im Einsatz, die bringt ca. 700 mbps download hin, ohne dass die CPU echten Load kriegt. Mit Prxy gehts auf rund 200 mbps retour, da kriegt CPU auch load.

Wenn man auf IDP\IPS verzichten will und mit der Bandbreite durchkommt, ne feine Sache. Streame lit 4 Geräten. Für normalen SOHO-Gebrauch wohl genügend. Bastler und andere experimentierfreudige sollten was kräftigeres nehmen. Mein Sohn hat während dem Streamen auch mit Steam gegamed, keine Probleme.

Zur Info für interessierte.

7

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 16, 2021, 04:13:01 pm »

Also, mir würds vor allem darum gehen, "ältere" Infrastruktur, die nicht mehr zwingend alle Updates kriegen zu schützen.

Das wird vor allem im Webumfeld sein, nehm ich jetzt mal an, sofern die User nicht noch in irgendwelchen zweifelhaften App-Stores rumstöbern.

Korrekt, IDS greift den TLS-Traffic nicht ab? Da heute noch die meisten Websites sowieso mit HSTS auf TLS umleiten, wäre damit das eigentlich mehrheitlich hinfällig. Da wäre nur noch der Schutz meiner wenigen Web- und Mailserver damit möglich. Und das meiste sortier ich damit aus, dass ich die Firehol (und andere) Rules auf den Interfaces in der Firewall am mitlaufen habe.

Somit wärs eigentlich nahezu sinnfrei, die IPS laufen zu lassen und CPU zu vergeuden (jetzt in meinem Fall). Oder tatsächlich einfach ne spielerei, damit man seine Freizeit in Corona nicht mit Tabak und Alkohol vergeudet

Gruess
Roger

8

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 15, 2021, 03:55:18 pm »

Danke für die Info. Celeron in dem Fall eher nicht. Die wären eher stromsparender unterwegs.

9

German - Deutsch / Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 15, 2021, 10:14:22 am »

Hallo zusammen,

habe ne APU4, damit geht IPS nicht wirklich. Max. 80 mbit/s. Suche nach beserer Hardware und wollte nachfragen, ob jemand Erfahrungen mit den Celeron CPU's hat:

Intel Celeron N4100
Oder der J9100

Habe in Zukunft max. 400 mbit/s Download und würde gerne IPS mitlaufen lassen, damit aber möglichst den Durchsatz erreichen.

Gruss
Roger

10

Web Proxy Filtering and Caching / Signal App only working if SNI enabled

« on: February 01, 2021, 08:40:44 am »

Hello,

I have an old tablet, which i would like to have SSL Inspection enabled. But this will not work for Signal, even if .whispersystems.org and .signal.org are inserted into no ssl bump sites.

It still reclams the certificate, e.g.:
kid1| ERROR: negotiating TLS on FD 30: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (1/-1/0)

Does anybody know, how i can handle Signal having ssl inspection enabled? Btw. the proxy is not transparent.

11

20.7 Legacy Series / Proxy and Clam

« on: January 28, 2021, 10:20:50 am »

How far does it still make sense, checking for viruses on the proxy, as lots/most/whatever webservers already use hstsc if we just use SNI? In that case, the content cannot be checked, i think.

This traffic will not be checked, isn't it?

Just for comprehension.

12

21.1 Legacy Series / Re: Squid SSL [Solved]

« on: January 27, 2021, 04:27:02 pm »

was just a problem on the tablet itself. had to delete the wlan-connection on the tablet and redo. No more problems since then.

Strange still, port 3129 is not in use. But inspection works.

13

21.1 Legacy Series / Squid SSL [Solved]

« on: January 27, 2021, 11:19:17 am »

Hi,

I tried for an old tablet having Squid using SSL Bump (without transparent proxy) - default listening is on port 3129.

On the tablet i get a reduced connection. Strange. On the sense, i see also not listening anything to port 3129 (which perhaps causes this).

And even more strange, the traffic gets - as it seems - inspected, as https://-download from eicar is recognized in c-icap...

usually i expected no inspection of traffic, as it is not listening on 3129 (SNI, btw. is disabled...)

Are there perhaps changes in squid, that could cause this?

14

21.1 Legacy Series / Re: NGINX problem with https server

« on: January 27, 2021, 07:24:41 am »

OK - i'll stay here, even if it's the same as on 20.7.8

It's only working, if TLS certificate check under upstream is disabled.

Thx,
Roger

15

21.1 Legacy Series / NGINX problem with https server

« on: January 20, 2021, 11:21:44 pm »

Since the upgrade to 21.1-rc...my https-reverse-proxy does no longer start.

Logs say:
SSL_CTX_load_verify_locations("/usr/local/etc/nginx/key/trust_upstream_4fa78829-e9c2-4d1b-b07d-3223d324f828.pem") failed (SSL: error:0B084088:x509 certificate routines:X509_load_cert_crl_file:no certificate or crl found)

in the mentionned path, i can find a pem. This error holds nginx from start. if i remove TLS-support from the server, the services starts again.

Somebody with a good idea?