Topics

Hi,

wie ich in Linux ein cronjo erstelle und per ssmtp eine mail versende weiß ich. Wie geht das mit opnsense in der Konsole. Ich logge mich per ssh ein, und bin root. Die Sense basiert ja auf BSD, apt um Pakete zu installieren geht hier wahrscheinlich nicht. Wie kann ich denn hier das empfohlene Mailprogramm installieren und einen cronjob einrichten?
Vielen Dank

Hi,
unter dem TAB Herunterladen habe ich alle auf drop gestellt und aktiviert. Gehe ich dann auf TAB Regeln, und wähle die Kategorie "Trojan" aus, dann erscheinen ca. 25000 Regeln, von denen sehr viele nicht auf drop gestellt sind, sondern nur auf "Alarm"?
Nun will ich alle auf drop stellen, leider zeigt mir die Ansicht maximal 1000 Regeln, somit muss mit viel Mühe ca. 20 mal die Seite geladen werden, um alle regeln auf drop zu stellen?
Also Leute, das muss doch nicht sein, oder? Wenn ich zumindest die Ansicht auf 25000 bekommen würde, wäre ich zufrieden.

Nach welchem Kriterium wurden denn die "markierten" drops ausgewählt, warum nicht alle in dieser Kategorie?
(Performance?)

Vielen Dank

Hallo,
habe eine neue sense eingerichtet, und die Konfiguration aus einer gespeicherten geladen. Aktualisiert, so weit ok. Nun wollte ich die Regeln des IDS/IPS ankutalisieren. Es geht nicht. Wie auf dem Bild zu sehen, "nicht installiert". Habe schon mehrmals neu gestartet, suricata neu installiert, aber immer wenn ich auf "herunterladen und aktualiesern" klicke ladet es zwar, aber es beleibt "nicht installiert".
Auf dem Reiter "Regeln" erscheinen somit auch keine Regeln.
Wo liegt denn das Problem?

Hallo hatte vor ca. 6 Monaten BIND und DNSBL eingerichtet, und es funktioniert bis heute auf der APU Sense. Nun habe ich opnsense auf einem anderen Rechner installiert und es funktioniert so weit, außer BIND mit dem DNSBL will einfach nicht mehr gehen. Testen tu ich das immer mit einer Google suche nach einem Produkt, und klicke dann auf die Werbung, die dann leider nicht geblockt wird. Ich habe hier mal die Bilder um die es geht.
Ich finde auch keinen unterschied zur anderen sense bei der es bis heute funktioniert :-[
Hat sich vielleicht was mit den neuen Updates geändert, findet jemand den Fehler?

Hallo,

meine Mails rufe ich von meinem Hoster ab per pop3 und email Client Thunderbird. Welche plugins und Tools sind nun notwendig um meine Mails mittels clamav zu scannen, bevor diese auf meinem Rechner landen.
Gibt es dazu Erfahrungen, bzw. Kritik, was mit opnsense evetuell noch nicht so gut läuft etc.
Eine gute Anleitung ist dazu schon vorhanden?

Hallo,

ich habe 2 LANs, im LAN1 komme ich auch auf meine opensense GUI. Nun will ich den Zugriff nur über LAN2 zulassen, kann ich das ändern, also das ich mit einer anderen IP auf die sense komme?

Hallo,

ich habe eine neue Schnittstelle mit einem USB-WLAN Stick erstellt, und diesem eine Statische IP vergeben:

192.168.120.1/24. Clients erhalten per DHCP die IPs, ok. Meine Opensese Webgui rufe ich auf LAN1 auf:
192.168.70.1. Um FreeRadius zu nutzen muss ich ja jeweils die IP vom Radius Server angeben, und die für den AP.

Die Frage ist nun, was ist denn die richtige IP des Radius Servers: 127.0.0.1? oder die von LAN1?
Mein AP hat ja dann die IP der Schnittstelle: 192.168.120.1
Da alles auf einem APU Board läuft verwirrt mich das ein wenig, alles ist ja auch lokal?

Hallo,

habe openvon nach der Anleitung in docs erstellt, und es klappt so weit. Dazu habe ich ein paar Fragen.

Beim erstellen vom OpenVPN Server, wird ja ein Interface (openvpn) erstellt. Mir ist aber aufgefallen, das wenn ich auf die Übersicht bei den interfaces gehe, dann sieht das so aus (Bild). Sollte ich den Button (plus) nun auswählen, oder es so lassen. Scheinbar wurde das interface im System nicht ganz integreirt. Wenn ich das mache, und speichere, dann escheint OPT2 als interface, gehe auf das interface, ist es erst mal deaktiveirt. Soll man es aktivieren, oder nicht? Falls ja müsste ich dem ja dann eine statische IP zuweisen? das wäre dann die die ich im Opnvpnserver angegeben habe?
Wie gesagt vpn funktioniert auch so, bin mir aber deswegen unsicher.

Mir sind mehrere Probleme aufgefallen, hauptsächlich nachdem ich openvpn server
eingerichtet habe und meine opnsense als Exposed Host in der Fritzbox eingerichtet habe,
und ich habe IPv6 in der Fritzbox aktiviert, im LAN selbst brauche ich es eigentlich nicht.
Natürlich weiß ich jetzt nicht, welche Probleme mit was genau Zusammenhängen. Deswegen fangen
wir doch einfach mal mit dem an was ich sehe:

1. oben Rechts erhalte ich plötlzich Nachrichten:
ungelesene Mitteilungen
Der Nachrichteninhalt ist im Bild zu sehen. (siehe unten Bild 1)

2. Manche Dienste laufen nicht, bzw. ich muss die immer wieder manuel starten
Siehe Bild2. DHCP6 Server lässt sich z.B. garnicht starten.

3. Das WAN Interface wird immer wieder deaktivert, wenn ich das richtig verstehe (Siehe Bild3)

4. Kann ich die opnsense über die WebGUI auf Werkseinstellungen zurück setzen, oder geht das nur per Konsole.
Und zur Konsole: Kann ich die Serielle Verbindung während dem Betrieb einstecken und mich verbinden, oder muss die opnsense
booten. Bis vor der opnvpn Konfiguration habe ich ein Konfigurationsdatei gespeichert. Ich würde diese dann nach der Werksteinstellung
laden, oder ist es besser diese direkt zu laden?

Hallo,

wozu dient denn die Option:
Weiterleitungs Gateway
bei der Erstellung eines OpenVPN Servers. Ist das die Option um vom Lokalen Netz wieder ins Internet zu gehen?

Zu IP6, was ist denn stabiler, sicherer, und sinnvoller. IP6 aktivieren, oder deaktivieren? Im LAN selbst brauch ich kein IP6 deswegen habe ich es deaktiviert. Der Provider und die Fritzbox bieten das an, ja.
Bild Siehe Anhang

Hallo,
habe c-icap und clamav, mit dem Web-Proxy eingerichet. Clamav funktioniert auf einem LAN. Ich habe zwei LANs, und beide Schnittslellen (siehe Bild) markiert, aber nur im LAN funktioniert die Filterung mittels clamav(Eicar).
Wieso funktioniert das nicht für die Clients im LAN2M?
Eine Lösungsvorschlag?

Habe nun das IDS/IPS getestet, erstmal mit nur einer Regel zum testen:

Interface: WAN
ET open/emerging-icmp
Aktiviert/ Runter geladen / mit und ohne DROP.
Leider habe ich nie etwas in den Logs der Alarmmeldungen gesehen.
Dazu muss ich sagen, das die FW in der VM ist, das WAN also acuh ein RFC1918 Netz ist.
Was ich aber sehe ist, das Livelog der FW. Wenn ich nun einen Ping auf das WAN der FW mache, dann sehe ich das in der Liveansicht der FW:
Es wird geblockt: Default Deny Rule
Kann es sein das das IDS deswegen erst garnichts mit bekommt, weil es von der FW schon geblockt wird?

Wo liegt denn das Porblem?

Hallo,

habe unter Services->Proxy->Administration >Remote Access Control Lists
die Liste von UT1 eingetragen, alles Kategorien sind standartmäßig ausgewählt.

The URL of the full compressed UT1 category based list is:
    ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Darunter ist auch bitcoin, und die Domains kann man auf deren Seite downloaden. Eine Seite wäre
bitcoinn.de. Diese wird auf https://www.bitcoin.de/de umgeleitet.

infojobs.it wird aber geblockt: (Zugriff verweigert), obwohl die Seite, ohne Proxy, auch umgeleitet wird auf:
https://www.infojobs.it/


Jetzt sollte diese Seite ja eigentlich blockiert werden? Das tut sie aber nicht. Den Proxy habe ich richtig eingestellt, clamav funtkioniert, außer die SSL Seiten. Hat das damit was zutun das bitcoin.de automatisch auf https umleitet?
Wo liegt das Problem?

Und dazu auch: Die Fehler Seiten des Proxys kann ich unter opnsense auch in der WebGui ändern? oder geht das nur über die Konsole als root, denke mal in einem www Ordner?

Hallo,

Kann man den Radius Server als Paket installieren, oder muss den Extern erstellen?
Gibt mir Radius, also Enterorise, wirklich mehr Sicherheit als Standard WP2?
GIbt es eine Komplette Anleitung dazu, und wie stabil ist das, gibt es Erfahrungen, mit 4 GB RAM?

Hallo,
habe mir ein alias für die spamhaus.org drop liste erstellt, und die FW Regel dazu. Nun habe ich mir den Live View unter de Firewall> Protokolldatein angeschaut, während ich eine IP in den Browser setzte. Die Seite, falls es eine ist, kann ja auch ein anderer Dienst sein, wird zwar nicht aufgereufen, ABER ich sehe nichts davon im Live View?
Mache ich da was falsch?
Danke

Hallo,

habe die Authentifizierung laut Doku mittles lokaler und OTP erstellt. Das ging auch, und ich konnte mich mittels Google Auth. anmelden. Aber ich konnte mich auch weiterhin nur mit dem Passwort anmelden, also ohne OTP.
Das ist natürlich blöd wenn man das normale anmelden nicht deaktivieren kann, weil ich ja sonst keinen Sicherheitsgewinn habe.

Hallo,

diesmal geht es um IP6 und DHCP.

Folgernder Aufbau ist geplant:

WAN / Internet
            :
            : 
      .-----+-----.
      |  Gateway  |  (Fritzbox über Kabel (Unitymedia))
      '-----+-----'
            |
        Statisches DHCP
            |      192.168.100.10
      .-----+------------------.---------------------------------------------
      |  OPNsense                                                                       |
      '-----+---------------------------------------------------------- +---'
            |   192.168.120.0/24                                          | 192.168.130.0/24                                 
        LAN1                                                                     LAN2


LAN1: 4 PCs und 1 NAS
LAN2: 2 PCs und Drucker


Ich wollte nun in meinen Lokalen Netzen kein IPv6 nutzen. Dazu auch die gleich die erste Frage:

1. Warum sollte ich das, gibt es eine Notwendigkeit. Wäre mir jetzt zu Aufwendig für IPv6 Lokae IPs zu erstellen etc.
1.b Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich. Im lokalen Netz kann ich doch immer IPv4 nutzen, oder nicht?
1.c Bei den Einstellungen kann man ja IPv6 komplett deaktivieren, was ich dann auch machen würde. Wann wär das ein Problem?

2. Wie oben zu sehen werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen. Ich weiß man kann die FB auch als Modem nutzen was ich aber nicht möchte, da ich auch das Telefon dran habe. Wie mache ich das am besten mit DHCP. DHCP Server der Frizbox im LAN der Fritzbox aktivieren, oder wie ich vermuten würde lieber DHCP Statisch nutzen?

Das hieße dann auch das ich das WAN Interface der opnsense auch auf DHCP statisch setzte, und die IP  192.168.100.10 vergebe z.B.?
LAN1 und LAN2 kann ich dann per DHCP Server versorgen lassen, das sollte, denke ich dann kein Porblem sein?

Ich hoffe es sind jetzt nicht zu viele Fragen :)

zur Firewall Regel habe ich ein paar Verständnis Regeln.

Ich habe hier mal ein Beipiel einer Regel für ein Gastnetz

https://wiki.opnsense.org/_images/guestnet_fwrules.png

Wir haben hier 5 Regeln.
1. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 53

2. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 8000 – 10000

3. Blockiere  vom  GUESTNET alle Ports – zum LAN net alle ports

4.   Blockiere  vom GUESTNET alle Ports – zum  GUESTNET adress alle ports

5. Erlaube vom  GUESTNET alle Ports überall hin.


So das verstehe ich nicht ganz. Am Anfang wird dem Gastnetz der Zugang auf den Port 53 der Adresse
(GUESTNET adress) erlaubt, und dann auch der port 8000-10000. Bis hier ok. Dann wir dem Gastnetz der Zugriff auf das LAN net verboten, auch noch klar.

Danach wird dem Gastnetz der Zugang zu allen Ports der Adresse
(GUESTNET adress) verboten. Hebt das nicht die ersten zwei Regeln weider auf? Oder liest man das dann so: Erst was erlauben (port 53,8000-10000) und dann den Rest verbieten?

Und dann wird wieder alles erlaubt (5)? Das ist ein Widerspruch? Verstehe die Logik bzw. Leseart nicht. Bitte um Erklärung, danke.