OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of titzi266 »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - titzi266

Pages: [1]
1
German - Deutsch / Spamhaus Drop Listen > Kein booten mehr?!
« on: April 02, 2017, 01:43:19 pm »
Hi,

habe folgendes Problem, habe die DROP Lists von Spamhaus nach dieser Anleitung konfiguriert:
https://docs.opnsense.org/manual/how-tos/edrop.html

Dabei habe ich aber nur die Aliases angelegt und noch keine DROP oder Reject Regeln für diese Listen angelegt.
Nur das anlegen der Aliase reicht bei mir aus, dass OPNsense bei einem Reboot stehen bleibt.
Es bleibt stehen bei: "Configuring firewall..."
Normalerweise nimmt dieser Punkt überhaupt keine Zeit ein. Nach ca. 2 Minuten warten, bin ich zum Snapshot meiner OPNsense VM zurückgegangen.

Hat jemand eine Idee?

Grüße
Titzi266

2
German - Deutsch / OpenVPN welcher Port?
« on: March 27, 2017, 09:27:24 am »
Hi,

ich benutze zur Zeit OpenVPN auf 1194/UDP (dem OpenVPN Standard Port).
Ich suche allerdings einen "sinnvolleren" Port. 1194/UDP ist oft in public WLANs über Firewalls geblockt und damit ist dann kein VPN möglich.
Welchen Port würdet ihr denn empfehlen? Bräuchte irgendein Port, der "immer" frei ist.

Auf 443/TCP habe ich einen nginx laufen.

Grüße
Titzi266

3
German - Deutsch / E-Mail bei log messages (VPN Connection und Firewall Block)
« on: March 24, 2017, 10:39:51 am »
Hi,

ist es möglich von OPNsense eine E-Mail zu erhalten, wenn sich jemand am in OPNsense integrierten OpenVPN anmeldet?
Außerdem hätte ich gerne eine E-Mail, wenn eine bestimmte IP-Adresse X mal geblockt wurde.

Ist es möglich da irgendwelche E-Mail Notifications basierend auf log messages oder so zu versenden?

Versendet OPNsense eine E-Mail wenn Updates für OPNsense oder irgendwelche Plugins verfügbar sind?
Ich will ja nicht stänfig im Web Interface kontrollieren müssen.  ;)

Danke
Titzi266

4
German - Deutsch / DMZ hinter FritzBox die internes WLAN bereitstellt
« on: March 24, 2017, 10:27:00 am »
Hallo,

ich benutze seit kurzem OPNsense. (Als virtuelle Maschine in KVM)

Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:

 - Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
 - Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).

Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.

Mein Netz sieht wie folgt aus:

Internet > FritzBox > [ OPNsense Interface INTERN  | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.

FritzBox:
 - IP: 10.0.0.1
 - Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
 - Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
 - Stellt WLAN bereit

physikalischer Server auf dem OPNsense als VM in KVM läuft:
 - IP eth0: 10.0.0.100
 - Default GW: 10.0.0.1 (FritzBox)

OPNsense:
 - IP (INTERN): 10.0.0.254
 - IP (DMZ): 10.2.0.254
 - OpenVPN Server mit Tunnel Netz: 10.8.0.0/24

VMs im virtuellen DMZ Netz:
 - IP: 10.2.0.X (per DHCP von OPNsense)
 - Default GW: 10.2.0.254 (OPNsense)


Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
1. Wie kritisch seht ihr dieses Sicherheitsproblem?

2. Wie könnte ich das Netzwerk schlauer aufbauen?
Theoretisch könnte ich die FritzBox in ein anderes Netz setzten und an ein neues/separates Interface der OPNsense VM hängen.
Dannn hätte OPNsense die folgenden Interface:
 - EXT (Netz der FritzBox, z.B. 10.5.0.254 / 24)
 - LAN (Alle internen Geräte, 10.0.0.254 / 24)
 - DMZ (Alle VMs im virtuellen DMZ auf KVM, 10.2.0.254 / 24)

Problem hierbei wäre, dass dann meine WLAN Geräte in dem externen Netzwerk wären.
Könnte aber dann samtlichen Traffic auf dem EXT interface in OPNsense erlauben (mit Ausname der FritzBox selbst)
Macht das Sinn?

Gibt es ganz andere Ideen, wie ich mein Problem mit der DMZ die durch ein internes Interface ereichbar ist lösen kann?

Danke
Titzi266

5
German - Deutsch / OpenVPN Routen funktionieren nicht
« on: March 21, 2017, 06:07:02 pm »
Hallo,

ich benutze seit kurzem OPNsense. (Als virtuelle Maschine in KVM)

Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:

 - Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
 - Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).

Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.


Mein Netz sieht wie folgt aus:

Internet > FritzBox > OPNsense Interface INTERN  | OPNsense Interface DMZ < VMs im virtuellen DMZ Netz.

FritzBox:
 - IP: 10.0.0.1
 - Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
 - Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)

physikalischer Server auf dem OPNsense als VM in KVM läuft:
 - IP eth0: 10.0.0.100
 - Default GW: 10.0.0.1 (FritzBox)

OPNsense:
 - IP (INTERN): 10.0.0.254
 - IP (DMZ): 10.2.0.254
 - OpenVPN Server mit Tunnel Netz: 10.8.0.0/24

VMs im virtuellen DMZ Netz:
 - IP: 10.2.0.X (per DHCP von OPNsense)
 - Default GW: 10.2.0.254 (OPNsense)

Das Problem:
Nun habe ich auf der FritzBox unter anderem ein Port Forwarding für 1194/UDP nach 10.0.0.254 (OPNsense Interface im Netz der FritzBox).
In OPNsense habe ich eine NAT Rule die mich für 1194/UDP zu 10.2.0.254 (DMZ Adresse von OPNsense) bringt.
Der OpenVPN Server lauscht auf dem Interface 10.2.0.254 von OPNsense.
In OpenVPN habe ich folgendes bei IPv4 Local Networks eingetragen: 10.0.0.0/24,10.2.0.0/24

Nun wäre meine Erwartung, dass ich Routen zu diesen Netzen per VPN bekomme und diese erreichen kann per VPN.

Als Client Specific Override habe ich folgendes (um eine Feste IP auf dem VPN Client zu bekommen):
ifconfig-push 10.8.0.22 255.255.255.0;
Funktioniert auch.

Ich habe hier auch schon auf folgendem Wege die Routen versucht zu pushen:
push "route 10.0.0.0 255.255.255.0 10.8.0.1"

Ich kann nur das VPN-Gateway 10.8.0.1 und andere Clients im VPN Netz erreichen aber nicht die Netze 10.0.0.0/24 und 10.2.0.0/24.

Im Firewall Log sehe ich nichts was blockt aber auch die Verbindungen gar nicht ankommen. Vermute also daher, dass das Problem noch weiter vorne liegt.1

Der Client ist übrigens ein Android Gerät mit dem offiziellen OpenVPN Client aus dem Google PlayStore.
Hier sieht es gut aus. Bekomme folgende Ausgaben am Client:
[route] 10.0.0.0 255.255.255.0
[route] 10.8.0.0 255.255.255.0
[route] 10.0.0.0 255.255.255.0 10.8.0.1
[topology] subnet

Kleine Info noch: Ich habe noch eine separate OpenVPN VM in der DMZ (10.2.0.X mit OPNsense als default Gateway).
Wenn ich die NAT Rule in OPNsense auf diese VM biege (statt das DMZ Interface von OPNsense) bekomme ich über diese VM VPN und dann auch an alle gewünschten Netze ran.
Nur den OpenVPN Server innerhalb von OPNsense bekomme ich nicht ans Laufen.

Hat jemand eine Idee wo es hängen könnte?

Danke für eure Hilfe.
Titzi266

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2