Messages

1

German - Deutsch / User bei Login in Wlan einen vordefinierten Gateway zuweisen

« on: November 30, 2019, 10:40:15 am »

Hallo,

Mein Bruder und ich würden gerne unsere beiden Häuser mit einem LWL verbinden, bei ihm läuft eine OPN und bei mir auch. (er und ich nutzen bereits andere Subnetze, somit sollte das mit einem Interface und ein Paar FW-Regeln laufen.)

Wir würden aber gerne das Wlan zusammenlegen, (Unifi Hardware ist vorhanden)
Es soll einen Zentralen Unifi-Controller geben, der eine zentrale SSID bereitstellt.
Jetzt würden wir aber gerne folgendes realisieren:
Loggt sich ein User von Haus1 in das Wlan ein, bekommt dieser auch den Gateway von Haus1.
Loggt sich z.B. der User von Haus2 ein soll diesem der Gateway von Haus2 zugewiesen werden.
usw.
Für das Gäste Netz soll natürlich das gleiche gelten. (ein Captive Portal für das Gästenetzwerk läuft bereits - aber ohne rooting - mit einem Gästenutzer der in der lokalen DB erstellt wurde)

Wie kann man so etwas umsetzen - bzw. ist so etwas überhaupt möglich?

Vielen Dank

Gruß Rocker

2

German - Deutsch / Re: Opnsense erzeugt großes IO Delay auf Proxmox Host

« on: June 25, 2019, 07:15:24 am »

Hallo,

es ist zwar schon etwas her, aber ich habe jetzt die Lösung gefunden

schuld war der ZFS Unterbau, ich habe die OPNsense auf einem ZFS Mirror installiert und es sind KEINE Enterprise SSD´s  somit hat die ZFS Sync Funktion die OPNsense stark verlangsamt. Diese habe ich jetzt deaktiviert und das IO Delay ist komplett Geschichte. (Das Risiko ist für mich verkraftbar, auf dem Mirror ist nur die Sense und die ist "nur" für ein EFH)

Es hat mich aber schon stark gewundert, das die Sense den Traffic auf den Platten zwischenspeichert, ich habe der VM 6GB RAm zur Verfügung gestellt und das TMP Verzeichnis im RAM liegen. (oder hab ich hier was falsch eingestellt?)

Gruß Rocker

3

German - Deutsch / Re: Opnsense erzeugt großes IO Delay auf Proxmox Host

« on: May 04, 2019, 05:07:14 pm »

Hallo Danke für den Tipp,

ich habe es umgestellt und werde das testen, ich hoffe es hilft

Gruß Rocker

4

German - Deutsch / Re: Opnsense erzeugt großes iIO Delay auf Proxmox Host

« on: May 01, 2019, 09:11:06 am »

und hier noch die Bilder der VM Konfig selbst und die Auslastung der VM während der Installation

Gruß Rocker

5

German - Deutsch / Re: Opnsense erzeugt großes iIO Delay auf Proxmox Host

« on: May 01, 2019, 09:10:01 am »

Ich muss die Bilder etwas aufteilen

Gruß Rocker

6

German - Deutsch / Opnsense erzeugt großes IO Delay auf Proxmox Host

« on: May 01, 2019, 09:09:22 am »

Hallo,

ich muster aufgrund diverser Probleme meine Opnsense VM neu installieren, dabei ist aufgefallen, dass die Installation ewig dauert.

und das obwohl der Host fast im Idle ist und recht potente Hardware besitzt.

Die Installation dauert ca. 30 Minuten hierbei entstehen weder auf dem Host noch auf der VM merklich CPU last, aber am Host steigt der IO Delay riesig an.

Woran kann das liegen? oder ist das während der Installation normal?
Denn danach läuft die VM eigentlich recht PRoblemlos (Ausser bei Firmware Upddates, da ist es wieder das Gleiche)

Ich habe Bilder angefügt über die Stellen der Installation wo es lange"hängt" und zusätzlich Bilder von der VM Konfiguration.

Gruß Rocker

7

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: May 01, 2019, 09:00:34 am »

Hallo,

Danke für deine Unterstützung, aber ich finde den Fehler einfach nicht
Ich installiere die Opnsense noch einmal neu und werde ein älteres Backup einspielen und Hoffen dass es dann wieder Funktioniert.

Gruß Rocker

8

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: April 30, 2019, 08:34:52 pm »

Hm ich hab so n bissl den Verdacht dass er http seiten nicht auflöst,

denn wenn ich bei meinem ubuntu server ein apt update mache lädf er die ersten 2 https repos danach aber ist sense...

Code: [Select]

Ign:1 https://artifacts.elastic.co/packages/6.x/apt stable InRelease
OK:2 https://artifacts.elastic.co/packages/6.x/apt stable Release
Fehl:4 http://ftp.hosteurope.de/mirror/mariadb.org/repo/10.3/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 80.237.136.138 80]
Fehl:5 http://archive.ubuntu.com/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 91.189.91.23 80]
Fehl:6 http://nginx.org/packages/mainline/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 95.211.80.227 80]

Ich komme einfach nicht dahinter

Gruß Rocker

9

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: April 30, 2019, 05:54:58 pm »

Hier noch anbei im Anhang das Ruleset für das Interface und die Bind Config

Gruß Rocker

10

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: April 30, 2019, 05:49:54 pm »

HAllo,

die hab ich glatt vergessen, ich habe aktuell Level 2 eingestellt, das sieht so aus:

Code: [Select]

Apr 30 17:49:27 unbound: [53148:0] info: control cmd: stats_noreset
Apr 30 17:49:08 unbound: [53148:2] info: query response was ANSWER
Apr 30 17:49:08 unbound: [53148:2] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:08 unbound: [53148:2] info: response for archive.ubuntu.com. A IN
Apr 30 17:49:08 unbound: [53148:2] info: resolving archive.ubuntu.com. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was CNAME
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:48:06 unbound: [53148:0] info: query response was ANSWER
Apr 30 17:48:06 unbound: [53148:0] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:06 unbound: [53148:0] info: response for connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:06 unbound: [53148:0] info: resolving connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:04 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:04 unbound: [53148:3] info: response for connectivitycheck.gstatic.com. A IN
Apr 30 17:48:04 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:48:04 unbound: [53148:1] info: response for connectivitycheck.gstatic.com. A IN

Hier noch mal Loglevel 3:

Code: [Select]

Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=138079 rrset=139165 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] info: finishing processing for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: query response was ANSWER
Apr 30 18:39:22 unbound: [49012:3] info: reply from <.> 127.0.0.1#53530
Apr 30 18:39:22 unbound: [49012:3] info: response for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: iterator operate: query www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137870 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] info: finishing processing for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: query response was NXDOMAIN ANSWER
Apr 30 18:39:22 unbound: [49012:2] info: reply from <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: response for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: iterator operate: query wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] debug: sending to target: <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: sending query: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: processQueryTargets: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: resolving wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new
Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] debug: sending to target: <.> 127.0.0.1#53530
Gruß Rocker

11

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: April 30, 2019, 03:12:42 pm »

der Befehl wird ohne Probleme ausgeführt.
Ich erhalte instant eine IP zurück

Meine Unbound Konfiguration habe ich angefügt.

Danke

Gruß Rocker

12

German - Deutsch / Re: Unbound und BIND anwenden als alternative fuer Pi-Hole

« on: April 30, 2019, 02:31:26 pm »

Hallo,

ich habe genau das Setup wie in diesem Thread beschreiben, in Nutzung.
(und es funktionierte bis vor Kurzem)
sprich keinen DNS Server unter der Allgemeinen Firewall Konfiguration.
es ist keine der drei Check-boxen gesetzt, die sich darunter befinden
Unbound leitet entsprechend an Bind weiter

Code: [Select]

do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: ::1@53530
forward-addr: 127.0.0.1@53530Und seit kurzem bekomme ich folgende Fehlermeldung im log bei Bind:

Code: [Select]

lame-servers: info: host unreachable resolving
Ich hab keine Ahnung woran es liegen könnte... ich habe schon alles versucht, Bind neu installiert die Firewall neu installiert (Konfig zurückgespielt)

Ich kann aktuell z.B. kein apt update && apt upgrade mit den UIbuntu Servern machen... Hier bekomme ich die Meldung Verbindung fehlgeschlagen.

Ich habe auch schon auf dem Interface eine LAN --> allow --> any --> any regel gesetzt um Probleme mit den Regeln auszuschließen, aber leider geht es trotzdem nicht

im Livelog der Firewall ist auch nichts zu sehen, außer die üblichen blocks (ICMP usw...)

Ich weis aktuell nicht mehr weiter
Auch kann ich nicht mehr  sagen ob oder was ich geändert habe um das Problem zu verursachen

Vielen Dank

Gruß Rocker

13

German - Deutsch / Re: Security Audit zeigt Fehler an

« on: April 28, 2019, 06:01:24 pm »

ah ok, danke für die Antwort! war mich da einfach unsicher

Gruß Rocker

14

German - Deutsch / Security Audit zeigt Fehler an

« on: April 26, 2019, 05:40:15 pm »

Hallo,

wenn ich das Security Audit durchführe kommen folgende Fehler:

Code: [Select]

***GOT REQUEST TO AUDIT SECURITY***
vulnxml file up-to-date
py27-yaml-3.13 is vulnerable:
py-yaml -- arbitrary code execution
CVE: CVE-2017-18342
WWW: https://vuxml.FreeBSD.org/freebsd/f6ea18bb-65b9-11e9-8b31-002590045d9c.html

clamav-0.101.1,1 is vulnerable:
clamav -- multiple vulnerabilities
CVE: CVE-2019-1798
CVE: CVE-2019-1785
CVE: CVE-2019-1786
CVE: CVE-2019-1788
CVE: CVE-2019-1789
CVE: CVE-2019-1787
WWW: https://vuxml.FreeBSD.org/freebsd/84ce26c3-5769-11e9-abd6-001b217b3468.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd side-channel attack
CVE: CVE-2019-9495
WWW: https://vuxml.FreeBSD.org/freebsd/60129efe-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- SAE side-channel attacks
CVE: CVE-2019-9494
WWW: https://vuxml.FreeBSD.org/freebsd/7e53f9cc-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd missing commit validation
CVE: CVE-2019-9499
CVE: CVE-2019-9498
CVE: CVE-2019-9497
WWW: https://vuxml.FreeBSD.org/freebsd/2da3cb25-6571-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- SAE confirm missing state validation
CVE: CVE-2019-9496
WWW: https://vuxml.FreeBSD.org/freebsd/98b71436-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd message reassembly issue with unexpected fragment
WWW: https://vuxml.FreeBSD.org/freebsd/a207bbd8-6572-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd missing commit validation
CVE: CVE-2019-9499
CVE: CVE-2019-9498
CVE: CVE-2019-9497
WWW: https://vuxml.FreeBSD.org/freebsd/2da3cb25-6571-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd side-channel attack
CVE: CVE-2019-9495
WWW: https://vuxml.FreeBSD.org/freebsd/60129efe-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- SAE side-channel attacks
CVE: CVE-2019-9494
WWW: https://vuxml.FreeBSD.org/freebsd/7e53f9cc-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- SAE confirm missing state validation
CVE: CVE-2019-9496
WWW: https://vuxml.FreeBSD.org/freebsd/98b71436-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd message reassembly issue with unexpected fragment
WWW: https://vuxml.FreeBSD.org/freebsd/a207bbd8-6572-11e9-8e67-206a8a720317.html

4 problem(s) in the installed packages found.
***DONE***

was muss ich in so einem Fall tun?

bzw. hat meine Firewall ein Problem?

Vielen Dank

Gruß Rocker

15

German - Deutsch / netmap_buf - unable to create cluster - Fehler bei boot

« on: April 13, 2019, 10:04:47 am »

Hallo,

hat evtl. jemand das selbe Problem? bzw. eine Lösung?

Ich habe meinen Server komplett neu aufgesetzt und Opnsense neu installiert.
Das Läuft auch alles super ABER.
Wenn ich neu starte bekomme ich gelegentlich den Fehler "netmap_buf - unable to create cluster"
Bild ist im Anhang.
Bei diesem Fehler bleibt die Firewall dann ca 3-5 Min beim Booten hängen, danach bootet sie zwar hoch, aber ich habe kein Wan Interface.
Wenn ich die Firewall mehrfach neu starte ist der Fehler irgendwann weg und alles läuft normal incl. dem Wan Interface (bezieht die IP per DHCP)

Gruß Rocker