Topics

1

German - Deutsch / richtige Einstellungen für Apple und Port-Forwarding auf Port 5223 (APNS)?

« on: November 25, 2024, 06:28:11 pm »

Hallo.
Wir haben hier immer wieder Probleme mit Geräten im WLAN (iPads), die von unserem MDM Befehle annehmen sollen. Scheinbar kommen diese Änderungen nicht immer zuverlässig genug bei allen Geräten an!?

Ich habe mir daher nochmal diese Seite angesehen:
https://support.apple.com/de-de/guide/deployment/dep2de55389a/web
Es ist also so, dass alle Geräte im WLAN Kontakt über Port 5223 zu Apple aufbauen können müssen:
"Durch die Verwendung von APNs werden Apple-Geräte über Aktualisierungen, MDM-Richtlinien und eingehende Nachrichten informiert."

Bei uns sieht die Regel für die Portweiterleitung so aus (s. Attachment). Ist das so richtig? Oder ist diese Regel überflüssig?
Was seltsam an der Sache ist: viele Clients im WLAN bekommen eine Änderung durch das MDM direkt mit ... aber es gibt immer wieder einzelne Geräte, die entweder gar nicht oder erst sehr viel später reagieren, wenn eine Aktion vom MDM ausgelöst wird.
Daher dachte ich, dass evtl die Einstellungen zum Port 5223 nicht ganz korrekt sind? Wie seht ihr das?

2

German - Deutsch / Routing-Problem: zwei Geräte im gleichen WLAN mit unterschiedlichen Routen

« on: November 06, 2024, 12:13:55 pm »

Hallo.
Wir haben hier ein merkwürdiges Routing-Problem. Im WLAN (Unifi Accesspoints, falls das relevant ist...) sind hier vormittags viele Geräte vorhanden.
Manche davon finden einen Rechner, der bei uns intern läuft und auf dem sich das MDM für die Geräte befindet aber nicht 100%ig zuverlässig sondern es gibt immer wieder Geräte mit Verbindungsproblemen.
 
Ich habe auf zwei iPads die App "Network Utils" verwendet, um mir das Tracerouting anzusehen. Auf einem Gerät, das alles richtig macht, läuft das so:
IP-Adresse des Gerätes (172.16.1.xy) -> OPNSense-Firewall (172.16.16.254) -> MDM (in der DMZ) unter 172.17.17.xy
Diese Route ist korrekt und es funktioniert so wie es sein soll.

Auf dem Gerät, das es falsch macht, sieht das aber so aus:
IP-Adresse des Gerätes (172.16.1.xy) -> Adresse im Internet (also nach draußen geroutet, obwohl es hier intern läuft)

Ich weiß leider nicht, warum das auf einigen Geräten manchmal so auftritt und wonach ich hier schauen soll?!? Als DNS-Server haben wir in dem WLAN für die Geräte ein Pi-Hole laufen, das wiederum die IP-Adresse des MDM-Servers richtig auflöst (das klappt auch auf allen Geräten korrekt!).
Aber die Route ist offenbar trotzdem manchmal falsch. Auf beiden iPads ist das gleiche Standard-Gateway und auch der gleiche DNS-Server eingetragen. Daher meine Frage, wo ich auf der OPNSense nachschauen soll, um das Problem eingrenzen zu können. Hat jemand einen guten Tipp für mich? Danke!

3

German - Deutsch / [Solved] Sehr häufige DHCP-Erneuerung auf WAN-Schnittstelle ... problematisch?

« on: September 26, 2024, 08:33:06 pm »

Hallo.
Ich habe unter /var/log/system/latest.log im 15-Min-Takt diese Meldung:

Code: [Select]

dhclient 26219 - [meta sequenceId="1"] dhclient-script: Reason RENEW on igb0_vlan532 executing
dhclient 26447 - [meta sequenceId="2"] dhclient-script: Creating resolv.conf

Bin leider nicht sicher, ob das den laufenden Betrieb stört, wenn die WAN-Schnittstelle das so oft macht oder ob das problemlos ist?
Hat jemand einen guten Tipp diesbzgl? (Die WAN-Schnittstelle hängt an einem ONT, der Provider ist e.ON (Fiber).)

4

German - Deutsch / [gelöst] Frage zu AdGuard und Client-Einstellungen (Netzmasken)

« on: June 28, 2024, 04:31:40 pm »

Hallo.
Wir wollen gerne AdGuard auf der OPNSense einsetzen und sind dazu dieser Anleitung gefolgt:
https://www.max-it.de/adguard-dns-blocker-neues-opnsense-plugin/

Nun ist es so, dass wir hier ein relativ großes WLAN haben. Es sieht so aus:
Subnetz    172.16.0.0
Subnetzmaske    255.255.0.0
Verfügbarer Bereich    172.16.0.1 - 172.16.255.254

Der DHCP-Bereich ist aber viel kleiner und umfasst "nur":
172.16.8.1 bis 172.16.15.254

Meine Frage ist, was ich bei den Client-Einstellungen im AdGuard in diesem Fall eintragen muss:
Wir haben die eigenen Geräte aus historisch gewachsenen Gründen "um diesen Bereich herum gelegt": Es gibt also Geräte mit festen IP-Zuordnungen unter 172.16.1.0/24 und ebenfalls im Bereich 172.16.16.0/24.
Diese beiden Subnetze kann ich ja auch problemlos im AdGuard eintragen, doch wenn ich als dritten Bereich dann
172.16.8.0/20 eintrage, gibt es doch eine Überschneidung, oder??

Leider kann ich im AdGuard keinen Bereich "von ... bis" eintragen sondern nur das ganze Subnetz  -- oder verstehe ich das falsch?
Danke jedenfalls für's Mitdenken.
 

5

German - Deutsch / Zugriff auf gewisse Seiten trotz Captive-Portal möglich?

« on: May 25, 2024, 05:11:51 pm »

Hallo.
Wir haben bei uns die Situation, dass wir ein WLAN für Gäste mit Captive Portal und ein anderes für alle anderen Geräte haben.

Natürlich sollen die Geräte eigentlich immer in "ihrem WLAN" bleiben und nicht in das Gast-Netz wechseln, doch das tun sie aus den unterschiedlichsten Gründen häufig nicht. Dann entsteht eine Situation, wie man sie nicht haben will, denn die Geräte sind in einer Art "Zwischenwelt" -- sie bekommen also zwar eine interne IP-Adresse aber sind natürlich nicht online und über das Internet erreichbar, da das Captive Portal das noch verhindert.

Auf diese Weise entgehen die Geräte aber auch der "Kontrolle" durch das MDM, da angestoßene Geräterichtlinien nicht am Gerät ankommen können. Da die Endgeräte bei uns iPads sind, hat Apple bei allen Aktionen leider auch die Finger mit im Spiel, so dass man bei vielen Aktionen eine Verbindung zu Apple-Servern haben muss.

(Leider ist es nicht möglich, dass man das Wechseln des WLANs komplett unterbinden kann, denn dann wäre das Problem ja schon gelöst. Genauso wenig ist es angeblich nicht mehr möglich, dass man den Schalter "Automatisch mit WLAN verbinden" per MDM deaktiviert. Das kam scheinbar mit einem der letzten iOS-Updates rein und führt dazu, dass die Geräte nicht immer automatisch verbunden sind. )

Daher meine Frage, ob man es (z.B. mit geschickten Firewall-Regeln) hinkriegen kann, dass alle Geräte in allen Netzen immer das Apple-Universum 17.0.0.0/8  erreichen können, auch wenn das Captive-Portal das ohne Credentials oder gültiges Voucher noch verhindert? Auf diese Weise wären die Geräte trotzdem über das MDM erreichbar ...
Vielleicht gibt es für so einen Fall ja einen sinnvollen Weg?

6

German - Deutsch / Captive Portal: "Erlaubte MAC-Adressen" werden ignoriert (mit Error-Log)

« on: May 02, 2024, 11:07:23 am »

Hallo.
Wir setzen das OPNSense-Captive-Portal für ein bestimmtes WLAN ein.

Da aber ein paar Geräte ohne Captive Portal ins WLAN gelangen können sollen, haben wir in den erweiterten Einstellungen ein paar MAC-Adressen unter " Erlaubte MAC-Adressen" eingetragen.

Das funktionierte bis vor kurzem auch: für diese Geräte wurde das Portal nicht angezeigt.
Jetzt ist es aber leider so, dass auch für diese Geräte zunächst die Portalseite erscheint und diese Geräte nicht mehr direkt online sind. Kann das mit dem kürzlich durchgeführten Update auf 24.1.6 zusammenhängen?
Oder wonach kann man da sonst schauen?
Danke für einen guten Tipp.

Ich sehe gerade, dass das gleiche Problem hier schon mal lief:
https://forum.opnsense.org/index.php?topic=32859.msg159241#msg159241
Das klang aber so, als sei das gefixt??

Was mir übrigens gerade erst aufgefallen ist:
Unter >>> Dienste: Captive Portal: Sitzungen
standen bisher immer viele Einträge  -- das ist jetzt komplett leer.

7

German - Deutsch / [Solved] Captive Portal wird mehr nicht automatisch angezeigt

« on: April 08, 2024, 09:06:53 am »

Hallo.
Wir haben hier sei ein paar Tagen Probleme mit dem Captive Portal der OPNSense. Die Portalseite erscheint nicht mehr automatisch, wenn man sich mit dem WLAN verbindet. Man kann sie aber erreichen (wenn man die IP-Adresse der Firewall kennt) und sich manuell anmelden. Diese Seite sollte aber automatisch geladen werden ... hat jemand eine Idee, woran das scheitern kann? Wir nutzen
OPNsense 24.1.5_2-amd64 und haben an den Captive-Portal-Einstellungen nichts verändert.
Ein Neustart der Firewall hat leider auch nicht geholfen.
Danke für einen guten Tipp.

8

German - Deutsch / Unbound: Top passed domains lautet "to"? Was ist das?

« on: March 03, 2024, 08:25:01 pm »

Hallo.
Ich habe bei uns (OPNSense 24.1.2_1-amd64) unter

Code: [Select]

Berichterstattung -> Unbound DNS gesehen, dass als "Top passed Domain" einfach nur "to." gelistet wird.
Was hat es damit auf sich?

Wenn man einen Client anklickt steht da auch nur sowas wie:

Code: [Select]

mein-client A to. Pass Cache NOERROR 0ms 1407
Diese Einträge wiederholen sich oft. Wer hat eine gute Erklärung?

9

German - Deutsch / Frage zu ACME-Client & Pfaden (seit Upgrade auf 24.1)?

« on: February 15, 2024, 11:40:22 am »

Hallo.
Wir lassen unsere OPNSense die LE-Zertifikate erstellen und kopieren diese dann per ssh an die Stellen, wo wir sie zusätzlich benötigen. Nun hat sich scheinbar kürzlich etwas an den Pfaden auf der OPNSense geändert, denn die Zertifikate liegen nun z.B. unter

Code: [Select]

/var/etc/acme-client/cert-home/5dd6479883d14.23163922/$hosts
Was hat es mit der neuen Bezeichnung (insbesondere dieser neu eingeführten "ID") auf sich?
Bleiben diese "IDs" (oder sind das Zeitstempel??) bei der nächsten Erneuerung der Zertifikate erhalten oder werden die bei jeder Erneuerung der Zertifikate neu vergeben??

Ich frage deshalb, weil durch die Änderung der Pfade auf der OPNSense nun auch die selbst geschriebenen Scripte geändert werden müssen. Wenn ich die neuen Pfade nur einmalig ändern muss, wäre das nicht so dramatisch -- aber wenn sich das jedes Mal ändert schon ... wer weiß Rat? Danke!

10

German - Deutsch / ntpdate: Port 123 (UDP) blocked? Wie muss die FW-Regel aussehen?

« on: January 18, 2024, 12:22:32 pm »

Hallo.
Wenn ich auf einem Client in unserer DMZ diesen Befehl verwende:

Code: [Select]

ntpdate -d time-1.rz.uni-duesseldorf.de
erhalte ich:

Code: [Select]

18 Jan 12:16:21 ntpdate[307681]: no server suitable for synchronization found
In der OPNSense-Firewall steht dann sowas wie:

Code: [Select]

Blocked:
DMZ  -> 172.17.17.199:56501 134.60.1.27:123 udp Default deny / state violation rule
Das verstehe ich nicht ganz: Offenbar geht die Anfrage raus aber kommt nicht zurück -- dennoch steht bei Direction "IN" ...
Mit anderen Worten: Muss da eine Extra-FW-Regel her? Ich habe es gerade versucht aber ich sehe gerade den Wald vor lauter Bäumen nicht, wie die auszusehen hat!?
Danke für einen Wink mit dem Zaunpfahl!

11

German - Deutsch / Sehr hohe Werte bei "Fehler eingehend/ausgehend" ...

« on: September 19, 2023, 02:16:53 pm »

Hallo.
Wir haben haben nun zum zweiten Mal folgendes im OPNSense-WebUI beobachtet. Die Werte unter
"Fehler eingehend/ausgehend" zeigten Werte, die ziemlich ziemlich ziemlich hoch waren (s. Attachment).
Beim ersten Mal habe ich einfach einen Neustart der OPNSense gemacht und mir "nichts weiter" dabei gedacht, aber da das ganze gerade zum zweiten Mal aufgetreten ist, wundere ich nun doch, was das ist bzw wodurch das ausgelöst wird?
Natürlich liegt nahe: Defektes Netzwerkgerät -- aber warum taucht das dann nicht *immer* auf??
Ich wüsste gerne, wie man das debuggen kann. Danke für einen guten Tipp.

12

German - Deutsch / Einspielen einer Konfiguration auf anderer Hardware -> Zuordnung der Interfaces?

« on: September 12, 2023, 11:52:04 am »

Hallo.
Wir haben hier folgendes Problem bzw folgende Merkwürdigkeit festgestellt:

Unsere produktive OPNSense läuft auf einer DEC3850. Dessen Konfiguration haben wir gesichert und in eine Testumgebung umziehen lassen. Dazu wurde eine 2. OPNSense unter Proxmox installiert und die Konfiguration wiederhergestellt. Das funktioniert zwar alles aber es gibt ein Problem bei der notwendigen Zuweisung der Interfaces.

Während die Interfaces auf der Baremetal-Installation ax0, ax1 ... heißen, heißen sie in der Proxmox-VM natürlich ganz anders. Ich habe der Reihe nach die Schnittstellen den Netzen zugewiesen und mich (viel später) darüber gewundert, dass die Firewall-Regeln nicht zu dem passen, was auf der Baremetal-Kiste eingestellt war. Ohne es zu merken, wurden zwei Netze verwechselt und die übernommenen Firewallregeln waren auf der VM genau falsch zugeordnet. Da gab es dann ein WLAN, das auf einmal alles durfte und ein Management-Netz, das sehr stark eingeschränkt war. Da es nur eine Testumgebung ist, war das nicht so dramatisch doch ich frage mich, wie man das bei der Zuweisung der Interfaces auf der Konsole herausfinden kann/soll?

Danke für einen guten Tipp.

13

German - Deutsch / Traffic Shaping -- welche Strategie ist sinnvoll?

« on: September 11, 2023, 03:27:54 pm »

Hallo.
Wir haben sehr viele Geräte in einem WLAN, was hier zunehmend zu Performance-Problemen führt. Es handelt sich im gesamten Gebäude um Unifi-Accesspoints. Die Signal-Abdeckung ist gut doch die Menge an Geräten und die gleichzeitigen Zugriffe aus das Internet führen zu Problemen. Die Internet-Anbindung ist bereits 1 Gbit über Glasfaser -- daran liegt es also nicht.
Daher kam das Thema "Traffic Shaping" auf das Tapet. Es gibt ja diese Anleitungen zum Thema: https://docs.opnsense.org/manual/shaping.html

Dort werden 5 Wege aufgezeigt. Bei den oberen drei Punkten überlege ich, was in unserer Situation am sinnvollsten ist. Daher die Frage in diese Runde: Welche dieser Strategien würdet ihr empfehlen, um die WLAN-Nutzung wieder "flüssiger für alle" zu gestalten?

14

German - Deutsch / [solved]"Konfiguration wiederherstellen" scheitert -- ohne genauere Angabe warum

« on: July 04, 2023, 02:17:17 pm »

Hallo.
Wir haben hier zwei OPNSense auf Blech, und zwar:

• Eine Backup-OPNSense, die ursprünglich das Produktivsystem hielt ("normaler Rechner").
• Eine DEC3850, die jetzt produktiv läuft.

Nun war es bei der Inbetriebnahme der DEC3850 so, dass ich die Konfiguration von der anderen OPNSense genommen habe, eingespielt habe und alles lief weiter.

Jetzt ist die Situation die, dass ich auf der DEC3850 gerne das Upgrade auf 23.1.11 machen möchte -- nicht aber, ohne vorher die andere OPNSense als Backup in der Hinterhand zu haben. Daher bin ich so vorgegangen: Zunächst die Backup-OPNSense auf den aktuellen Stand gebracht (was auch erfolgreich durchlief).
Anschließend wollte ich die laufende Konfiguration der DEC3850 wieder auf der Backup-Maschine einspielen (denn da kam sie ja auch ursprünglich her). Aber genau dieser Schritt funktioniert nicht. Ich erhalte leider nur die wenig sagende Fehlermeldung:
"Die folgenden Eingabefehler wurden entdeckt: Die Konfiguration konnte nicht wiederhergestellt werden!"

Leider steht da nichts genaueres, so dass ich nicht weiß, warum die Konfiguration nun nicht mehr funktioniert. In der Zwischenzeit sind auf der DEC3850 ein paar Dinge zusätzlich installiert worden, wie z.B. selbst-signierte Zertifikate + CA. Kann das daran liegen oder würden die fehlenden Pakete auf der Backup-Maschine automatisch nachinstalliert werden?
Ansonsten läuft die DEC3850 im Moment noch auf Version 22.7.11_1-amd64 (was ich ja gerne ändern würde) und die Backup-Maschine jetzt auf 23.1.11.

Danke für einen guten Tipp.

15

German - Deutsch / Frage zu Geräten hinter Captive Portal

« on: May 26, 2023, 11:12:41 am »

Hallo.
Wir hatten hier die Idee, dass man das Captive Portal der OPNSense evtl dazu verwenden könnte, um Geräten in einem bestimmten WLAN zwar den Zugriff auf interne Dienste zu erlauben aber keinen Internet-Zugriff zu gewähren (zumindest solange nicht, bis man ein gültiges Voucher verwendet)

Das funktioniert aber leider nicht: Wenn ein Gerät nicht erfolgreich am Captive Portal angemeldet ist, kann es GAR keinen Dienst erreichen. Also ganz gleich, ob sich der entsprechende Server im Internet oder im Intranet befindet.

Sobald man sich mit seinen Credentials angemeldet hat, funktioniert es natürlich sowohl intern als auch extern. Das ist natürlich eigentlich sehr sinnvoll so aber ich frage mich, ob es evtl eine Einstellung gibt, die den internen Zugriff trotzdem bereits erlaubt, während alles blockiert wird?