1
21.7 Legacy Series / Re: Yet another DNS topic
« on: March 17, 2022, 08:11:31 am »
Same problem here - could you share a screenshot or something like that? Thanks
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1] 2
2
22.1 Legacy Series / Re: Wireguard - What the necessary packages now? (22.1)
« on: February 17, 2022, 02:45:55 pm »If you want the UI interface you need the plugin, even if WG is using the kmod under the hood
If your question is whether you should continue to use the kmod or revert to the go implementation, my recommendation would be to continue with the kmod if it has been working well for you. The kmod will be faster than the go implementation, and will eventually be the default installation
Thanks - then I will stay with kmod.
3
22.1 Legacy Series / Re: Wireguard - What the necessary packages now? (22.1)
« on: February 17, 2022, 10:51:49 am »
Thanks for the quick reply even if it is comparatively harsh. But maybe I just feel that way because English is not my native language. 
In 21.x kmod was almost essential for wireguard to work stable and without excessive cpu load.
My question was only if the module is still needed under 22.1 or if you can uninstall it.
In 21.x kmod was almost essential for wireguard to work stable and without excessive cpu load.
My question was only if the module is still needed under 22.1 or if you can uninstall it.
4
22.1 Legacy Series / Re: Wireguard - What the necessary packages now? (22.1)
« on: February 17, 2022, 07:06:13 am »
Same question here... 
5
German - Deutsch / Re: Nur bekannte Geräte zulassen
« on: November 28, 2021, 05:11:07 pm »Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren
So einfach ist es leider nicht, denn die Kinder sollen schon im eigenen Netz bleiben, um auf diverse Ressourcen zugreife zu können. Wie gesagt, ein VLAN gibt es ja schon.
oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.
Das ist bei uns auch nicht so und ich habe es auch nicht vor. Gäste sind ausschließlich im WLAN.
Allerdings gab es bereits den Fall, dass ein Mitarbeiter das Kabel von einem Client gezogen hat, um sein privates Notebook einzustecken. Wurde natürlich alles erörtert und entsprechende Regeln aufgestellt, aber technische Lösungen sind beruhigender.
Da werde ich mich dann mal in die 802.1X Thematik einlesen...Ok, ich will Euch auch nicht weiter mit meinen Fragen die Zeit rauben...
In erster Linie ging es mir eigentlich darum, ob und wie genau man die OPNsense mit den beiden genannten Funktionen (Deny unknown clients + Enable ARP Static entries) für eine private Absicherung nutzen kann.
Danke und Gruß Emmitt
6
German - Deutsch / Re: Nur bekannte Geräte zulassen
« on: November 28, 2021, 08:52:56 am »
Erst einmal vielen Dank für Eure Gedanken dazu.
Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt... Das auf "normales" Internet und Mail eingeschränkte Gast-WLAN befand man wohl als ungenügend.
Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.
Das kommt meiner Idee schon sehr nah. Ich dachte, dass funktioniert dann mit "Deny unknown clients" und "Enable Static ARP entries"? Oder braucht es tatsächlich noch eine zusätzliche Firewall-Regel?
Gibt es dazu auch irgendwo eine Anleitung die es für die OPNsense erklärt?
Danke nochmal!
Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt... Das auf "normales" Internet und Mail eingeschränkte Gast-WLAN befand man wohl als ungenügend.
Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.
Das kommt meiner Idee schon sehr nah. Ich dachte, dass funktioniert dann mit "Deny unknown clients" und "Enable Static ARP entries"? Oder braucht es tatsächlich noch eine zusätzliche Firewall-Regel?
oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X
Gibt es dazu auch irgendwo eine Anleitung die es für die OPNsense erklärt?
Danke nochmal!
7
German - Deutsch / Re: CPU am Limit
« on: November 27, 2021, 08:12:52 pm »
Bei mir hat der php-Prozess auch einen erheblichen CPU-Bedarf.
Zwar keine 100%, aber alle 5-10 Sekunden kommt ein Ausschlag auf ca. 50% (kommend von ca. 3%).
Ich beobachte das seit 21.7.5 und eben nur, wenn ich das WebGUI nutze.
Zwar keine 100%, aber alle 5-10 Sekunden kommt ein Ausschlag auf ca. 50% (kommend von ca. 3%).
Ich beobachte das seit 21.7.5 und eben nur, wenn ich das WebGUI nutze.
8
German - Deutsch / Re: Nur bekannte Geräte zulassen
« on: November 27, 2021, 07:36:31 pm »
Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen...
9
German - Deutsch / Re: Nur bekannte Geräte zulassen
« on: November 27, 2021, 06:36:34 pm »
Vielen Dank für Deine Idee! 
Einen ordentlichen Switch habe ich, allerdings halte ich den Sicherheitsgewinn durch das Einschränken auf bekannte MAC-Adressen für sehr überschaubar. Es ist m.E. zu einfach, die MAC-Adresse eines Geräts zu ändern...
Einen ordentlichen Switch habe ich, allerdings halte ich den Sicherheitsgewinn durch das Einschränken auf bekannte MAC-Adressen für sehr überschaubar. Es ist m.E. zu einfach, die MAC-Adresse eines Geräts zu ändern...
10
German - Deutsch / Nur bekannte Geräte zulassen
« on: November 27, 2021, 06:05:42 pm »
Hallo,
ich benötige mal Euer Fachwissen.
Für mein privates LAN nutze ich bei den kabelgebundenen Geräten statische Adressen - im privaten WLAN den DHCP-Server der opnsense. Zusätzlich habe ich noch ein zweites Netz für Gäste via VLAN auch mit DHCP.
Nun würde ich gerne im LAN den Zugriff auf die vorhandenen Geräte beschränken - also keine weiteren Geräte per DHCP (und ggfs. auch nicht per statischer Adresse) zulassen. Ich möchte damit einfach verhindern, dass ein Gast bewusst oder versehentlich sein Notebook per Kabel verbindet und dann in meinem Privatnetz ist.
Wie kann ich das lösen? Ich vermute mit der "deny unknown devices" Option in Verbindung mit ARP. Aber wie konfiguriert man das sauber?
Danke und Gruß Emmitt
ich benötige mal Euer Fachwissen.
Für mein privates LAN nutze ich bei den kabelgebundenen Geräten statische Adressen - im privaten WLAN den DHCP-Server der opnsense. Zusätzlich habe ich noch ein zweites Netz für Gäste via VLAN auch mit DHCP.
Nun würde ich gerne im LAN den Zugriff auf die vorhandenen Geräte beschränken - also keine weiteren Geräte per DHCP (und ggfs. auch nicht per statischer Adresse) zulassen. Ich möchte damit einfach verhindern, dass ein Gast bewusst oder versehentlich sein Notebook per Kabel verbindet und dann in meinem Privatnetz ist.
Wie kann ich das lösen? Ich vermute mit der "deny unknown devices" Option in Verbindung mit ARP. Aber wie konfiguriert man das sauber?
Danke und Gruß Emmitt
11
21.7 Legacy Series / Re: [SOLVED] Certificate Web GUI is not intended (enabling SSH)
« on: November 24, 2021, 10:25:51 am »
I have now simply created a new server certificate
12
German - Deutsch / Re: Web GUI Certificate Fehler bei Aktivierung von SSH
« on: November 24, 2021, 10:20:58 am »
Hat sich erledigt. Habe einfach ein neues Server Zertifikat erstellt...
13
21.7 Legacy Series / [SOLVED] Certificate Web GUI is not intended (enabling SSH)
« on: November 24, 2021, 08:30:26 am »
Hello,
I want to install kmod for Wireguard, but I don't have a serial-USB adapter for the console.
So I try to enable SSH via the web GUI. Unfortunately I get the following error message:
"Certificate Web GUI SSL certificate is not intended for server use".
The certificate seems to be expired. Now my question: How can I renew it without console? I was told that it is not possible with this particular certificate?
Thanks Emmitt
I want to install kmod for Wireguard, but I don't have a serial-USB adapter for the console.
So I try to enable SSH via the web GUI. Unfortunately I get the following error message:
"Certificate Web GUI SSL certificate is not intended for server use".
The certificate seems to be expired. Now my question: How can I renew it without console? I was told that it is not possible with this particular certificate?
Thanks Emmitt
14
German - Deutsch / Web GUI Certificate Fehler bei Aktivierung von SSH (gelöst)
« on: November 24, 2021, 08:26:52 am »
Hallo,
es steht schon fast alles im Subject...
Da ich kmod für Wireguard installieren möchte, gerade aber keinen Seriell-USB Adapter für die Konsole habe, wollte ich SSH über das Web GUI aktivieren. Leider erhalte ich dabei folgende Fehlermedung:
"Certificate Web GUI SSL certificate is not intended for server use"
Das Zertifikat ist wohl abgelaufen. Nun meine Frage: Wie kann ich das Zertifikat ohne Konsole verlängern? Mir war so, dass es bei diesem bestimmten Zertifikat nicht ohne Weiteres geht?
Danke Emmitt
es steht schon fast alles im Subject...
Da ich kmod für Wireguard installieren möchte, gerade aber keinen Seriell-USB Adapter für die Konsole habe, wollte ich SSH über das Web GUI aktivieren. Leider erhalte ich dabei folgende Fehlermedung:
"Certificate Web GUI SSL certificate is not intended for server use"
Das Zertifikat ist wohl abgelaufen. Nun meine Frage: Wie kann ich das Zertifikat ohne Konsole verlängern? Mir war so, dass es bei diesem bestimmten Zertifikat nicht ohne Weiteres geht?
Danke Emmitt
15
21.1 Legacy Series / Re: Unbound DNS Blacklist doesn't work
« on: June 19, 2021, 11:48:13 am »
No one else?
Until the update it worked flawlessly.
Until the update it worked flawlessly.
Pages: [1] 2