Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - Rocker

#1
German - Deutsch / ACME Automations SFT Upload
January 06, 2022, 01:32:44 PM
Hallo liebe Opnsense Community,

aktuell versuche ich auf meinen UCS per SFTP Automation, Zertifikate hochzuladen.
Leider aber klappt das nicht :( ich befürchte der Fehler sitzt vor dem Bildschirm und sieht den Wald vor lauter Bäumen nicht mehr.

Die Zertifikate wurden erfolgreich bei LE geholt. Die SFTP Automation schlägt dann aber fehl.

es gab hier auch Beiträge, die den Pfad zu den korrekten Keyfiles zeigen, dieser Pfad existiert aber nicht auf meiner Sense.
Nutze ich die SSH RSA Keys die ich für Putty verwende, schlägt das Ganze fehl.

Nach meinem Verständnis muss ich doch die Keyfile nutzen die ich auch für den Login per SSH auf dem UCS verwende damit die SFTP Verbindung funktioniert? - oder liege ich hier falsch?

Vielen lieben Dank

Gruß Rocker


#2
Hallo,

ich habe den HAProxy nach der Anleitung vom Schulkonzept.net eingerichtet, und dieser läuft auch!
(HAProxy Konfiguration inkl. der NAT und Firewall Regeln wurden aus https://schulnetzkonzept.de/opnsense übernommen)

Jetzt bin ich aber auf ein Problem gestoßen, denn im Logging der Server (z.B. der Nextcloud) die ich dahinter betreibe, taucht immer nur die Gateway Adresse als anfragende IP auf, es macht auch keinen Unterschied, ob ich ein Handy aus dem Funknetz oder einen sich im Lan befindenden Rechner für die Anfrage nutze.
Das Resultat ist immer, dass die Anfragende IP die Schnittstelle des Server-Netzes ist.

Was müsste ich umstellen, dass die "echten" IP Adressen der Anfragenden bei den Servern landen, den ich möchte z.B. Fail2Ban nutzen.

vielen Dank

Gruß Rocker
#3
Hallo,

ich kämpfe seit ein paar Wochen jetzt mit dem haproxy :D ich habe verschiedene Tutorials durchprobiert, aber ich bekomme keine Verbindung zu meinen Diensten dahinter.

Ich betreibe in einer DMZ aktuell eine Searx und eine Nextcloud beides mit Subdomains.
Das weiterleiten zum richtigen Server macht aktuell der Nginx auf der Nextcloud zudem übernimmt er auch die Zertifikatsverwaltung für alle Server dahinter.

Zugriff von draußen erfolgt über ein NAT Portforwarding. (Port 80 und 443)

Das alles funktioniert auch erst mal alles soweit.

Jetzt würde ich die Dienste aber gerne etwas entflechten. Denn wenn ich z.B. ein Backup der Nextcloud mache ist die Searx nicht mehr erreichbar, da der Nginx hierzu abgeschaltet werden muss.

Ich würde gerne das jeder Server seine Zertifikate selbst regelt und somit auch "autark" ist.
Die Zuweisung der Anfragen soll aber dann der haproxy übernehmen.

jetzt habe ich die Anleitung aus dem wiki versucht und ich habe folgende Anleitung leicht abgeändert versucht:
https://schulnetzkonzept.de/opnsense

auch habe ich versucht den haproxy im tcp modus zu betreiben, da ich die Zertifikate dahinter nutzen möchte.
Aber ich komme einfach nicht auf die Dienste :(
Entweder erhalte ich einen Timeout, oder einen SSL Fehler.

hat so etwas schon mal jemand von euch versucht? oder hat eine Anleitung für so ein Vorhaben.
Bzw. steht am Ende des Wikis, dass entsprechende Regeln in der FW angelegt werden müssen - evtl. hängt es einfach nur daran.

Vielen lieben Dank

Gruß Rocker

#4
Hallo,

Mein Bruder und ich würden gerne unsere beiden Häuser mit einem LWL verbinden, bei ihm läuft eine OPN und bei mir auch. (er und ich nutzen bereits andere Subnetze, somit sollte das mit einem Interface und ein Paar FW-Regeln laufen.)

Wir würden aber gerne das Wlan zusammenlegen, (Unifi Hardware ist vorhanden)
Es soll einen Zentralen Unifi-Controller geben, der eine zentrale SSID bereitstellt.
Jetzt würden wir aber gerne folgendes realisieren:
Loggt sich ein User von Haus1 in das Wlan ein, bekommt dieser auch den Gateway von Haus1.
Loggt sich z.B. der User von Haus2 ein soll diesem der Gateway von Haus2 zugewiesen werden.
usw.
Für das Gäste Netz soll natürlich das gleiche gelten. (ein Captive Portal für das Gästenetzwerk läuft bereits - aber ohne rooting - mit einem Gästenutzer der in der lokalen DB erstellt wurde)

Wie kann man so etwas umsetzen - bzw. ist so etwas überhaupt möglich?

Vielen Dank

Gruß Rocker
#5
Hallo,

ich muster aufgrund diverser Probleme meine Opnsense VM neu installieren, dabei ist aufgefallen, dass die Installation ewig dauert.

und das obwohl der Host fast im Idle ist und recht potente Hardware besitzt.

Die Installation dauert ca. 30 Minuten hierbei entstehen weder auf dem Host noch auf der VM merklich CPU last, aber am Host steigt der IO Delay riesig an.

Woran kann das liegen? oder ist das während der Installation normal?
Denn danach läuft die VM eigentlich recht PRoblemlos (Ausser bei Firmware Upddates, da ist es wieder das Gleiche)

Ich habe Bilder angefügt über die Stellen der Installation wo es lange"hängt" und zusätzlich Bilder von der VM Konfiguration.

Gruß Rocker
#6
German - Deutsch / Security Audit zeigt Fehler an
April 26, 2019, 05:40:15 PM
Hallo,

wenn ich das Security Audit durchführe kommen folgende Fehler:

***GOT REQUEST TO AUDIT SECURITY***
vulnxml file up-to-date
py27-yaml-3.13 is vulnerable:
py-yaml -- arbitrary code execution
CVE: CVE-2017-18342
WWW: https://vuxml.FreeBSD.org/freebsd/f6ea18bb-65b9-11e9-8b31-002590045d9c.html

clamav-0.101.1,1 is vulnerable:
clamav -- multiple vulnerabilities
CVE: CVE-2019-1798
CVE: CVE-2019-1785
CVE: CVE-2019-1786
CVE: CVE-2019-1788
CVE: CVE-2019-1789
CVE: CVE-2019-1787
WWW: https://vuxml.FreeBSD.org/freebsd/84ce26c3-5769-11e9-abd6-001b217b3468.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd side-channel attack
CVE: CVE-2019-9495
WWW: https://vuxml.FreeBSD.org/freebsd/60129efe-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- SAE side-channel attacks
CVE: CVE-2019-9494
WWW: https://vuxml.FreeBSD.org/freebsd/7e53f9cc-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd missing commit validation
CVE: CVE-2019-9499
CVE: CVE-2019-9498
CVE: CVE-2019-9497
WWW: https://vuxml.FreeBSD.org/freebsd/2da3cb25-6571-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- SAE confirm missing state validation
CVE: CVE-2019-9496
WWW: https://vuxml.FreeBSD.org/freebsd/98b71436-656d-11e9-8e67-206a8a720317.html

hostapd-2.7_1 is vulnerable:
FreeBSD -- EAP-pwd message reassembly issue with unexpected fragment
WWW: https://vuxml.FreeBSD.org/freebsd/a207bbd8-6572-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd missing commit validation
CVE: CVE-2019-9499
CVE: CVE-2019-9498
CVE: CVE-2019-9497
WWW: https://vuxml.FreeBSD.org/freebsd/2da3cb25-6571-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd side-channel attack
CVE: CVE-2019-9495
WWW: https://vuxml.FreeBSD.org/freebsd/60129efe-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- SAE side-channel attacks
CVE: CVE-2019-9494
WWW: https://vuxml.FreeBSD.org/freebsd/7e53f9cc-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- SAE confirm missing state validation
CVE: CVE-2019-9496
WWW: https://vuxml.FreeBSD.org/freebsd/98b71436-656d-11e9-8e67-206a8a720317.html

wpa_supplicant-2.7 is vulnerable:
FreeBSD -- EAP-pwd message reassembly issue with unexpected fragment
WWW: https://vuxml.FreeBSD.org/freebsd/a207bbd8-6572-11e9-8e67-206a8a720317.html

4 problem(s) in the installed packages found.
***DONE***



was muss ich in so einem Fall tun?

bzw. hat meine Firewall ein Problem?

Vielen Dank

Gruß Rocker
#7
Hallo,

hat evtl. jemand das selbe Problem? bzw. eine Lösung?

Ich habe meinen Server komplett neu aufgesetzt und Opnsense neu installiert.
Das Läuft auch alles super ABER.
Wenn ich neu starte bekomme ich gelegentlich den Fehler "netmap_buf - unable to create cluster"
Bild ist im Anhang.
Bei diesem Fehler bleibt die Firewall dann ca 3-5 Min beim Booten hängen, danach bootet sie zwar hoch, aber ich habe kein Wan Interface.
Wenn ich die Firewall mehrfach neu starte ist der Fehler irgendwann weg und alles läuft normal incl. dem Wan Interface (bezieht die IP per DHCP)

Gruß Rocker

#8
German - Deutsch / QR-Code Gäste Wlan
April 03, 2019, 07:52:46 AM
Hallo,

ich habe bei meiner Opnsense erfolgreich das Captive Protal inkl. Voucher-Server nach der im Wiki zur Verfügung gestellten Anleitung erstellt.
Alles funktioniert wie es soll.
Aber, ich würde den Komfortumfang gerne etwas erhöhen und den Gäste-Wlan-Login gerne über einen QR-Code realisieren.
Ziel sollte sein, man kommt auf das Captive Protal und man bekommt den Hinweis, dass der QR Code zum Login gescannt werden muss.

Gibt es hier eine Möglichkeit, so etwas einzubinden? bzw. eine Anleitung dafür?

Vielen Dank

Gruß Rocker
#9
Hallo,

ich würde mich sehr freuen, wenn ihr über mein angelegtes Regelwerk blicken könntet und mir sagen könntet ob ihr da irgendwo Probleme seht.

So sieht mein Setup aus (meine OPN sense hat 3 Schnittstellen WAN LAN DMZ)

      WAN / Internet
            :
            : Telekom VDSL
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox 7590--> kein Exposed Host/ Wlan off nur Einwahl und Telefon)
      '-----+-----'
            |
     IP   192.168.0.0 inklusive zweier Port forwards für die DMZ
            |
      .-----+------.   private DMZ   .------------.
      |  OPNsense  +-----------------+ DMZ-Server
      '-----+------'   10.0.50.1/24  '------------'
            |
        LAN | 10.0.40.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers/Wlan)  (es gibt kein Gäste Wlan -- UNIFI (Controller und AP´s)


Die Regeln die ich erstellt habe, sind als Bilder angefügt.

Ich habe einen Gaming PC und wollte Fragen wie ihr das mit den Port-Freigaben händelt, denn auch wenn ich  z.B. die Ports von Steam freigebe laufen die meisten Games eben nicht :( da immer wieder und immer wieder Ports fehlen...
aktuell kann eben dieser eine PC komplett nach draußen, aber das missfällt mir irgendwie...

Zudem habe ich versucht die NTP Abfragen automatisch an meine Opnsense per NAT Regel zu leiten, das funktioniert aber nicht so wie ich mir das vorstelle, ist es hier besser den NTP Port nach draußen zuzulassen damit sich die Clientes und Server ihre Uhrzeit selbst aus dem Inet beziehen?
z.B: aktuell habe ich einen Raspberry in Betrieb genommen, dieser bekommt einfach keine Uhrzeit zugeteilt. Die OPNsense selbst, verbindet sich aber ordnungsgemäß mit den zugewiesenen NTP Servern im Netz

Vielen lieben Dank

Gruß Rocker
#10
German - Deutsch / OPNsense Proxmox
July 25, 2018, 06:01:06 PM
Hallo liebe Community,

ich betreibe meine OPNsense unter Proxmox, und das funktioniert auch alles sehr gut!

nur hab ich eine meiner Meinung sehr hohe CPU Last wenn ich die Leitung (25000 DSL) auslaste.

Meine Frage nun ist das normal?
oder habe ich evtl an der Konfiguration etwas falsch gemacht?
Bzw. gibt es eine Möglichkeit den Qemu Agent zu installieren?

Ich habe ein paar Bilder angefügt, dort sieht man die Konfiguration und die Auslastung (es war ein Steam Download)

Vielen Dank!

Gruß Rocker
#11
German - Deutsch / Alias Paket?
July 24, 2018, 04:42:13 PM
Hallo liebe OPNsense Community

ich bin neu hier und habe mich für OPNsense entschieden!
Aktuell versuche ich meine Sophos UTM zu ersetzen und das geht bis jetzt einfacher als gedacht :D

Eine Kleinigkeit vermisse ich allerdings gibt es so etwas wie vorgefertigte Aliase?
z.B. ein Paket das man hochladen kann in dem dann z.B. Remote Services, Mailing oder Messaging als Alias mit den entsprechenden Ports enthalten sind... oder ich finde es einfach nicht (das möchte ich nicht ausschließen)

Vielen Dank für eure Hilfe

Gruß Rocker