Topics

1

German - Deutsch / Verdächtiges Verhalten - Ursache finden

« on: February 26, 2019, 07:47:35 am »

Hallo zusammen,
ich hatte gestern eine Steuerungsanfrage auf meinem TV, die ganz sicher von niemanden aus meinem Haushalt ausgelöst wurde. Zudem habe ich von Microsoft eine Email bekommen, daass jemand meinen Account aus Russland benutzt. Jetzt würde ich natürlich gerne schauen, was gestern Abend auf meinen TV zugegriffen hat. Wenn ich auf  Firewall: Protokolldateien: Originalansicht gehe und dort nach der IP vom TV suche, kommt kein Ergebnis - meine Befürchtung, dass die Datei schon wieder überschrieben wurde, weil zu viele Einträge waren. Daher meine Fragen:
- wie / wo sucht man denn üblicherweise, wenn man etwas Verdächtiges entdeckt?
- kann ich noch wo suchen außer in den Firewall Protokolldateien?
- Ich habe ca. 70 Netzwerkgeräte, wie groß sollte ich die Logdateien machen, damit ein paar Tage gespeichert bleiben?
Viele Grüße
doc

2

German - Deutsch / Re: HA-Proxy Pfad abschneiden - NEUES Problem

« on: January 28, 2019, 09:42:58 am »

Hallo zusammen, ich versuche gerade über HAProxy auf meinen Bitwarden docker weiterzuleiten. Ich muss die Anfrage, die über einen Pfad (ich habe mal /test/bit definiert) allerdings ohne den Pfad ans Backend (IP:81) weiterleiten. Ich habe hier https://forum.opnsense.org/index.php?topic=10114.0 schon mal was gefunden, aber das klappt nicht so ganz. Hier mal mein Aufbau:

Bedingung:
Name: acl_test
Bedingungstyp: Path matches
Pfad enspricht: /test/bit

Regel:
Name: bit_weiterleiter
Testtyp: if
Bedingung: acl_bit
Logischer Operator: none
Funktion: Verwende den angegebenen Backendpool
Use backend pool: bit

Name: Pfad_delete
Testtyp: if
Bedingung: acl_bit
Logischer Operator: none
Funktion: http-request set-path
Set Path: /test/bit%[path,regsub(/,)]

Backend: bit
IP: 192.168....
Port: 81

Und im Frontend habe ich unter Regeln sowohl Test_weiterleiter als auch Pfad_delete drin. Wenn ich das Pfad_delete rausnehme schaut es so aus als würde er auf den richtigen Server weiterleiten nur bekomme ich keine Anzeige (weil eben der Pfad mit übermittelt wird und da finded ngingx nichts). Und den Pfad bei ngingx selbst einzutragen wäre ziemlich sinnlos, denn das wäre bei jedem update des containers weg.
Leider gibt das Log von HAProxy nicht viel her was schief gehen könnte und der Ngingx von Bitwarden protokolliert von Haus aus nichts. Daher tue ich mir schwer - aber ich schätze es hängt einfach an meinem "Pfad_delete".
Viele Grüße
doc

3

German - Deutsch / Hohem Speicherverbrauch auf die Schliche kommen

« on: August 12, 2018, 07:57:24 am »

Guten Morgen,
ich habe vor drei Tagen von Monit die Meldung bekommen, dass der Speicherverbrauch extrem hoch ist ("mem usage of 96.4% matches resource limit [mem usage > 75.0%]"). Nachdem das um 3 Uhr morgens war und ich da brav im Bett war, kommt mir das etwas verdächtig vor. Ich finde allerdings im "Einblick" nicht wirklich was (da gibt es nur "zuletzt gesehen" und nicht was für ein Traffic um die Zeit stattgefunden hat. Hat jemand für mich Anfänger einen Tipp, wie ich mir den Datenverkehr um die Uhrzeit anschauen kann?
Viele Grüße
doc

4

German - Deutsch / Opnsense verlangsamt Downstream um 70% [gelöst]

« on: July 11, 2018, 08:57:37 pm »

Hallo,
ich habe seit ein paar Wochen extrem lahme Downloadgeschwindigkeiten (30MBit statt 120Mbit). Erst habe ich mir nichts dabei gedacht, aber nachdem das so geblieben ist, wollte ich der Sache auf den Grund gehen. Bei einer direkten Verbindung vom PC zum Modem bekomme ich die 120Mbit.
OpnSense (18.1.11) läuft auf einem ESXi und hat 2 Kerne zur Verfügung: Intel(R) Xeon(R) CPU E3-1245 v6 @ 3.70GHz (2 cores) und eine durchschnittliche Auslastung von 0,29 0,35 0,33. Zudem hat er 4GB Ram zur Verfügung (Auslastung 49%), zudem ist OpnSense direkt hinter dem Modem (mit WAN verbunden) und "steuert" von da aus mein Netzwerk (LAN).
Allerdings egal ob ich den Speedtest von meinem PC aus (egal ob über den Switch oder direkt am OpenSense LAN angesteckt) oder einer VM auf dem ESXi mache, ich bekomme nur etwa 36 MBit/s Downstream. Der Upstream bleibt gleich. Ein Iperf vom PC zur OpenSense (über den Switch) zeigt 700 MBit/s. Auch wenn ich die Einbruchserkennung deaktiviere bleibt das gleich. Hat jemand eine Idee, was ich noch testen könnte, um den Fehler zu finden? Kann ich auch direkt von der Opensense einen Speedtest nach außen machen, um mal zu schauen, was da so anliegt. Nicht dass der ESXi spinnt.
Viele Grüße
doc

5

German - Deutsch / Automatische Benachrichtigungen durch Opensense

« on: June 02, 2018, 11:22:27 am »

Hallo Gemeinde,
ich nutze OpenSense jetzt schon ein paar Monate und bin mehr als zufrieden. Eines geht mir allerdings noch ab - kann man OpenSense dazu bringen, sich aktiv bei bestimmten Systemevents zu melden - also entweder eine Email zu schicken oder zB. über Pushover. Ich hätte z.B. gerne eine Benachrichtigung, wenn sich ein neues Gerät im Netzwerk anmeldet (ein neuer DHCP Lease erstellt wird). Gibt es da eine Möglichkeit, die ich bislang noch nicht gefunden habe? Also über System -> Einstellungen -> Benachrichtigungen kann man ja zumindest SMTP einrichten, aber wie kann ich denn steuern, dass ich bei bestimmten Events aktiv benachrichtigt werde?
Viele Grüße
doc

6

German - Deutsch / Festplatte voll [gelöst]

« on: May 03, 2018, 07:55:18 am »

Hallo zusammen,
nachdem meine Festplatte langsam volläuft (86% / [ufs] (5,4G/6,8G)) und ich irgendwie nicht finde, wie ich das in den Griff bekomme, hätte ich zwei Fragen:

• Kann ich irgendwo einstellen, dass Logs nach X Tagen verworfen werden? Zudem habe ich die NetFlow Aufzeichnung aktiviert, aber auch da finde ich keine Einstellung, nach wie viel Tagen das verworfen wird. Eine andere Ursache kann ich mir kaum vorstellen, bin aber für jeden Tipp dankbar, wie ich das herausfinden kann.
• Macht es Sinn, die Festplatte zu vergrößern? Ich kann die ja über ESXi (darauf läuft mein OpenSense) vergrößern, aber dann muss ich ja sicher noch in Opensense / BSD den neuen Speicher formatieren. Gibt es da eine Anleitung dazu?

Viele Grüße
doc

7

German - Deutsch / HA Proxy Client ID weiterreichen

« on: April 09, 2018, 09:56:35 pm »

Hallo zusammen,
ich habe mittlerweile einen HAProxy zum Laufen gebracht und hätte gerne, dass er die Client-ID an das Backend weiterreicht. In einer früheren Version gab es wohl bei der Config des Frontends die Option X-Forward-for header (sh. https://wiki.opnsense.org/manual/how-tos/haproxy.html) - aber die gibt es nicht mehr.

Die IP würde ich nämlich gerne durchreichen, um dann auf dem Server mit Fail2ban entsprechende Brute-force Angriffe zu unterbinden.

Aber vielleicht hat jemand auch eine andere Idee/Hilfestellung zum Erbasteln:
Wesentlich schöner wäre natürlich eine Möglichkeit, das direkt auf der OPNSense zu tun, aber wie ich die ganzen Posts verstanden habe, gibt es kein Fail2Ban für die OPNSense. Die Authentifikation könnte man nämlich wohl auch gleich am HAProxy einstellen und quasi vorlagern. Deswegen würde ich das jetzt erstmal mit der IP Weiterleitung im Header machen, dann über fail2ban auf dem Backendserver die IP bei cloudflare sperren lassen, da gibt es eine entsprechende Action. Aber die unterbindet natürlich nicht Angriffe, wenn jemand direkt auf meine IP geht, deswegen wäre dann mein nächster Schritt zu schauen, ob ich das irgendwie über die API von OPNSense hinbekomme. Da habe ich mich aber noch zu wenig damit beschäftigt, step by step ;-)

Viele Grüße
doc

8

18.1 Legacy Series / HA Proxy Rule Error?

« on: April 08, 2018, 01:08:04 am »

Hi,
I have defined 3 conditions and some corresponding rules, but it does not work how expectet:
Condition 1: if path matches /test  -> Rule 1 use backend 1
Condition 2: if path matches /othertest  -> Rule 2 use backend 1
Condition 3: if SSL/TLS connection established
=> Rule 3 "Redirect": UNLESS Condition 1, Condition 2, Condition 3; logical operator OR  then http-request redirect prefix https://www.google.de (I want to redirect all traffic if not ment for one of my Servers and if not SSL)

And I have a frontend where I activate all 3 rules.
Result: Rule 1 and 2 work, but Redirect does not work, if I use https://myserver/notest I get a 503 Service Unavailable instead of a redirect.
Has anyone an idea what goes wrong?
Best regards
doc

9

General Discussion / HA Proxy Reverse Proxy Help [solved]

« on: April 04, 2018, 10:17:09 pm »

EDIT: Now it works with this configuration. After some reboots and leaving everything as it is for 1 day it works.  Sometimes they have their own life ;-)

Hi,
I have followed several guides to set up a reverse proxy with ha proxy but I am not sucessfull (e.g. https://docs.opnsense.org/manual/how-tos/haproxy.html, https://www.frankysweb.de/exchange-2016-opnsense-haproxy-und-lets-encrypt/). Unfortunately they do not refer to ha proxy 2.6 but I think I've managed to "translate" some of the descriptions (i.a. ACL -> Rules).
If I use NAT, I can reach my webserver from the internet, but not with HA Proxy. Could someone please look over my config and tell me where my error is?
Firewall -> Rules -> WAN -> ICPv4TCP * * * 80 (HTTP) *      [should allow any http traffic to any destination]
Services -> HAProxy -> Configuration:

• 1. Real Server
• Name: us80
• FQDN or IP: 192.168.2.4 (this is where my apache is reachable
• Port: 80
• SSL: unchecked
• Verify SSL: unchecked
• 2. Virtual Services -> Backend Pool
• Name: us80_backend
• Mode: HTTP (Layer7) default
• Balancing Algorythm: Source-IP Hash default
• Server: us80
• nothing else changed
• 3. Rules & Checks -> Conditions
• Name: us80_acl
• Condition type: Path starts with
• Negate condition: unchecked
• Path Prefix: /*
• 4. Rules & Checks -> Rules
• Name: us80_rule
• Test type: IF default
• Logical operator: AND default
• Execute function: use specified Backend Pool
• Use backend pool: us80_backend
• 5. Virtual Services -> Public Services
• Name: us80_public
• Listen Addresses: 127.0.0.1:80, 192.0.0.2:80 (WAN Address, I've tried it with only this address too, also 0.0.0.0:80 did not work)
• Type: HTTP / HTTPS (SSL offloading) default
• Default Backend Pool: us80_backend
• Select rules: us80_rule (does not work without rule either
• nothing else changed

I am thankful for any hints!

10

German - Deutsch / OpenVPN sehr langsam

« on: March 16, 2018, 10:42:25 am »

Hallo zusammen,
ich habe eine Frage zu OpenVPN - ich habe es nach der Road Warrior Anleitung eingerichtet und es läuft, allerdings ist die Geschwindigkeit sehr langsam. Ich verbinde mich über LTE und habe mit Speedtest eine 5 Mbit Verbindung gemessen. Wenn ich mich über OpenVPN mit der OPNSense verbinde war alles subjektiv sehr langsam und ich habe mit Iperf mal nachgemessen:
[  4]   0.00-10.00  sec  1.75 MBytes  1.47 Mbits/sec                  sender
[  4]   0.00-10.00  sec  1.62 MBytes  1.36 Mbits/sec                  receiver
Meine Leitung zu Hause hat allerdings 120Mbit Down und 6Mbit Upstream. OPNSense hängt hinter einer Fritzbox 6590 (Kabelmodem) mit Weiterleitung von Port 1194. OpenVPN läuft auf einem ESXi Server mit 4 Kernen eines Xeon 1245 und 4 Gig RAM - daran sollte es also nicht liegen. Hat jemand eine Idee, wo die Ursache liegen könnte?
Viele Grüße
doc

11

German - Deutsch / VOIP (Fritzbox): Setup: Kabelmodem -> DMZ -> OPNSense -> Fritzbox [erledigt]

« on: March 11, 2018, 11:44:59 pm »

Hallo zusammen,
ich bin am verzweifeln, ich bekomme das Telefon nicht zum laufen und habe mir schon den kompletten Tag um die Ohren gehauen. Ich habe sämtliche Tutorials durch, aber es will nicht klappen. Die Ausgangssituation:
- ein TC7200 Kabelmodem (192.168.0.1), daran hängt nur die OPNSense Maschine (10.11.30.1) in einer DMZ (Portbase Passthrough ist leider deaktiviert)
- dahinter hängt eine FB6590 (Internet über LAN 10.11.30.10)
Egal was ich mache (insb. die Tipps aus dem Sticky-Post: https://forum.opnsense.org/index.php?topic=4712.0), ich bekomme kein stabil laufendes SIP hin.
Wenn ich gar nichts konfiguriere (kein NAT, etc.), kann ich zu 50% raustelefonieren oder ich bekomme auf dem FritzFon einen Netzwerkfehler angezeigt, angerufen werden kann ich gar nicht. Auch die Tipps aus dem Stick-Post brachten nichts, da mein Provider (cablesurf/cablefon) anscheinende auch noch weitere Ports nutzt, im Mitschnitt bzw. in der Firewall habe ich z.B. 35354, 39676, 7078 gefunden, also nach Ports zu filtern dürfte schwierig werden, da ich die nicht wirklich vorhersagen kann.
Dann habe ich mal geschaut, woher die Pakete kommen und recherchiert - die kommen von HL komm Telekommunikations GmbH und denen gehören laut http://whatmyip.co die IPs 85.232.4.0 - 85.232.5.255    (512 ips).
Kann mir bitte, bitte jemand einen Tipp geben, wie ich die OPNSense konfigurieren soll, damit ich telefonieren kann?
Viele grüße und gute Nacht 

PS: Problem ist erledigt. Nachdem mich meine Frau gesteinigt hätte, wenn das Telefon noch länger ausgefallen wäre, habe ich die FB wieder direkt ans Kabel geklemmt und freischalten lassen... jetzt geht natürlich auch Telefon. Schade, aber einen Versuch war es wert 

12

German - Deutsch / ipv6 hinter Fritzbox

« on: March 08, 2018, 08:44:16 am »

Moin zusammen,
meine Güte, das Thema plagt mich. Ich beschäftige mich erst seit einer Woche mit dem "Sense" Thema, eingestiegen bin ich mit PFSense, die habe ich aber mit meiner Konfigurationsversuchen komplett kaputt gemacht ;-) Mit OpnSense komme ich weitaus besser klar, alles läuft wie geschmiert, allerdings bekomme ich das ipv6 nicht zum laufen. Ich habe verschiedenste Webanleitungen versucht (z.B. https://forum.opnsense.org/index.php?topic=5069.30), aber irgendwie klappt es nicht (Test ist einen Ping direkt von der Weboberfläche der OPNSense auf eine ipv6 Adresse abzusetzen (https://mirror.tuxcall.de).
Das Problem bei den Anleitungen ist, dass immer nur ein Teil der ipv6 Einstellungen auf der Fritzbox beschrieben werden und ich mir einfach nicht sicher bin, welche sonstigen Haken da ggf. zu ändern sind. Falls das bei jemand läuft, wäre ich sehr dankbar, wenn der/diejenige mal seine kompletten Einstellungen posten würde (die in Internet -> Zugangsdaten -> IPv6  und die in Heimnetzübersicht -> Netzwerkeinstellungen -> IPv6-Adressen). Wenn es nicht zu viel Mühe macht, wären die erforderlichen Einstellungen der OPNSense auch super!
Vielen Dank schon Mal und beste Grüße!
doc