Topics

Moin,

ich habe mir OS-Iperf im Gui-Paketmanager installiert, bin unter Schnittstellen ins Diagnose-Menü und wollte dort eine Iperf Instanz zur Bandbreitenmessung auf LAN starten. Leider startet diese nicht und ich finde den Fehler nicht.


Auf der Konsole funktioniert iperf, nur im Menü halt nicht, Jemand ne Idee?

Code Select Expand


root@opnsense:~ # iperf3
iperf3: parameter error - must either be a client (-c) or server (-s)

Usage: iperf3 [-s|-c host] [options]
       iperf3 [-h|--help] [-v|--version]

Server or Client:
  -p, --port      #         server port to listen on/connect to
  -f, --format   [kmgtKMGT] format to report: Kbits, Mbits, Gbits, Tbits
  -i, --interval  #         seconds between periodic throughput reports
  -I, --pidfile file        write PID file
  -F, --file name           xmit/recv the specified file
  -A, --affinity n/n,m      set CPU affinity
  -B, --bind      <host>    bind to the interface associated with the address <host>
  -V, --verbose             more detailed output
  -J, --json                output in JSON format
  --logfile f               send output to a log file
  --forceflush              force flushing output at every interval
  --timestamps<=format>     emit a timestamp at the start of each output line
                            (optional "=" and format string as per strftime(3))
  --rcv-timeout #           idle timeout for receiving data (default 120000 ms)
  -d, --debug[=#]           emit debugging output
                            (optional optional "=" and debug level: 1-4. Default is 4 - all messages)
  -v, --version             show version information and quit
  -h, --help                show this message and quit
Server specific:
  -s, --server              run in server mode
  -D, --daemon              run the server as a daemon
  -1, --one-off             handle one client connection then exit
  --server-bitrate-limit #[KMG][/#]   server's total bit rate limit (default 0 = no limit)
                            (optional slash and number of secs interval for averaging
                            total data rate.  Default is 5 seconds)
  --idle-timeout #          restart idle server after # seconds in case it
                            got stuck (default - no timeout)
  --rsa-private-key-path    path to the RSA private key used to decrypt
                            authentication credentials
  --authorized-users-path   path to the configuration file containing user
                            credentials
  --time-skew-threshold     time skew threshold (in seconds) between the server
                            and client during the authentication process
Client specific:
  -c, --client <host>[%<dev>] run in client mode, connecting to <host>
                              (option <dev> equivalent to `--bind-dev <dev>`)
  --sctp                    use SCTP rather than TCP
  -X, --xbind <name>        bind SCTP association to links
  --nstreams      #         number of SCTP streams
  -u, --udp                 use UDP rather than TCP
  --connect-timeout #       timeout for control connection setup (ms)
  -b, --bitrate #[KMG][/#]  target bitrate in bits/sec (0 for unlimited)
                            (default 1 Mbit/sec for UDP, unlimited for TCP)
                            (optional slash and packet count for burst mode)
  --pacing-timer #[KMG]     set the timing for pacing, in microseconds (default 1000)
  --fq-rate #[KMG]          enable fair-queuing based socket pacing in
                            bits/sec (Linux only)
  -t, --time      #         time in seconds to transmit for (default 10 secs)
  -n, --bytes     #[KMG]    number of bytes to transmit (instead of -t)
  -k, --blockcount #[KMG]   number of blocks (packets) to transmit (instead of -t or -n)
  -l, --length    #[KMG]    length of buffer to read or write
                            (default 128 KB for TCP, dynamic or 1460 for UDP)
  --cport         <port>    bind to a specific client port (TCP and UDP, default: ephemeral port)
  -P, --parallel  #         number of parallel client streams to run
  -R, --reverse             run in reverse mode (server sends, client receives)
  --bidir                   run in bidirectional mode.
                            Client and server send and receive data.
  -w, --window    #[KMG]    set send/receive socket buffer sizes
                            (indirectly sets TCP window size)
  -C, --congestion <algo>   set TCP congestion control algorithm (Linux and FreeBSD only)
  -M, --set-mss   #         set TCP/SCTP maximum segment size (MTU - 40 bytes)
  -N, --no-delay            set TCP/SCTP no delay, disabling Nagle's Algorithm
  -4, --version4            only use IPv4
  -6, --version6            only use IPv6
  -S, --tos N               set the IP type of service, 0-255.
                            The usual prefixes for octal and hex can be used,
                            i.e. 52, 064 and 0x34 all specify the same value.
  --dscp N or --dscp val    set the IP dscp value, either 0-63 or symbolic.
                            Numeric values can be specified in decimal,
                            octal and hex (see --tos above).
  -Z, --zerocopy            use a 'zero copy' method of sending data
  -O, --omit N              perform pre-test for N seconds and omit the pre-test statistics
  -T, --title str           prefix every output line with this string
  --extra-data str          data string to include in client and server JSON
  --get-server-output       get results from server
  --udp-counters-64bit      use 64-bit counters in UDP test packets
  --repeating-payload       use repeating pattern in payload, instead of
                            randomized payload (like in iperf2)
  --dont-fragment           set IPv4 Don't Fragment flag
  --username                username for authentication
  --rsa-public-key-path     path to the RSA public key used to encrypt
                            authentication credentials

[KMG] indicates options that support a K/M/G suffix for kilo-, mega-, or giga-

iperf3 homepage at: https://software.es.net/iperf/
Report bugs to:     https://github.com/esnet/iperf


[Was ich auch fragen wollte ist, wann wird Suricata auf Version 7 umgestellt?]

Seit dem Update meiner Sense auf 23.1.1_2 scheint es irgendwie Probleme zu geben, wenn Suricata aktiviert ist, kann ich von der Sense weder mein Gateway anpingen noch irgendwelche Hosts im Internet. Allerdings funktioniert das aus dem LAN heraus alles ganz normal. Von der Konfiguration wurde nichts geändert.

DNS scheint keine Probleme zu haben:

Code Select Expand

# /sbin/ping -4 -c '1' 'heise.de'
PING heise.de (193.99.144.80): 56 data bytes

--- heise.de ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

Aus den Logs werde ich jetzt auch nicht direkt schlau:

Code Select Expand

2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.vba-jpg-dl' is checked but not set. Checked in 2814992 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.XMLHTTP.ip.request' is checked but not set. Checked in 2022050 and 1 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.wininet.UA' is checked but not set. Checked in 2021312 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.WinHttpRequest.no.exe.request' is checked but not set. Checked in 2022653 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.IE7.NoRef.NoCookie' is checked but not set. Checked in 2023672 and 4 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.SecondaryFlash.Req' is checked but not set. Checked in 2829953 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.WinHttpRequest' is checked but not set. Checked in 2019823 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'exe.no.referer' is checked but not set. Checked in 2020500 and 0 other sigs

Was ich auch fragen wollte ist, wann wird Suricata auf Version 7 umgestellt?

Code Select Expand

2023-02-18T11:59:09 Warning suricata [100318] <Warning> -- [ERRCODE: SC_ERR_CONF_YAML_ERROR(242)] - App-Layer protocol http2 enable status not set, so enabling by default. This behavior will change in Suricata 7, so please update your config. See ticket #4744 for more details.

Gibt es sonst noch Infos die ich zur Problembehebung nach schauen könnte...?

A few days earlier I read an article claiming that on BSD systems a single connection is limited because the capacities of multicore CPUs are not fully utilized?

Does this circumstance actually cause difficulties and if so, what is planned to improve opensense in this respect?

For answers I thank you in advance.

Moin,

möchte auf WAN Interface der Sense 192.168.1.1 von 192.168.1.8 auf Port 123  zugreifen bzw. Zugriff erlauben. Bogon ist auf WAN Schnittstelle deaktiviert, sowie eine FW Regel auf WAN Schnittstelle vorhanden, welche den Zugriff eigentlich ermöglichen sollte.

LAN Interface hat 192.168.0.1, nur der Vollständigkeit halber, die interne Schnittstelle sollte eigentlich nicht tangiert werden bei der Konfiguration.

Wie kann dies am besten gelöst werden, bitte um Rat.

Edit:

scheint jetzt zu laufen, bogon war noch aktiv.

Hallo,

diese Frage ist zwar eher offtopic aber dennoch würde mich generell mal interessieren, welche Zertifikate und Weiterbildungen im Linux/Unix Umfeld am meisten Sinn ergeben? Es gibt da zum Beispiel die LPIC Reihe, wie gefragt sind Leute mit solchen Zertifizierungen - wie ist es mit den beruflichen Aussichten wie Aufstiegschancen und Gehälter?

Gibt es für IT-Security und Firewalls gleichwertige Zertifizierungen? Wenn ja welche Auswahl gibt es hier konkret?

Würde mich auch über Erfahrungsberichte freuen, Danke!

Grüße

Hallo,

heute ist mir aufgefallen, dass NTP nicht mehr synchronisiert, hatte gehofft mit dem Update auf 21.7 behebt  sich das Problem von alleine.

Einige Versuche, das Problem einzugrenzen:

root@opnsense:~ # ntpd -q -g
28 Jul 23:11:44 ntpd[41978]: ntpd 4.2.8p15@1.3728-o Thu Jul 22 12:42:44 UTC 2021 (1): Starting
28 Jul 23:11:44 ntpd[41978]: Command line: ntpd -q -g
28 Jul 23:11:44 ntpd[41978]: ----------------------------------------------------
28 Jul 23:11:44 ntpd[41978]: ntp-4 is maintained by Network Time Foundation,
28 Jul 23:11:44 ntpd[41978]: Inc. (NTF), a non-profit 501(c)(3) public-benefit
28 Jul 23:11:44 ntpd[41978]: corporation.  Support and training for ntp-4 are
28 Jul 23:11:44 ntpd[41978]: available at https://www.nwtime.org/support
28 Jul 23:11:44 ntpd[41978]: ----------------------------------------------------
28 Jul 23:11:44 ntpd[41978]: proto: precision = 0.420 usec (-21)
28 Jul 23:11:44 ntpd[41978]: getconfig: Couldn't open </etc/ntp.conf>: No such file or directory
28 Jul 23:11:44 ntpd[41978]: unable to bind to wildcard address :: - another process may be running - EXITING


root@opnsense:~ # ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
time.cloudflare .INIT.          16 u    -   64    0    0.000   +0.000   0.000
a08.alphasrv.ne .INIT.          16 u    -   64    0    0.000   +0.000   0.000
ntp2.m-online.n .INIT.          16 u    -   64    0    0.000   +0.000   0.000
5.145.135.89 (s .INIT.          16 u    -   64    0    0.000   +0.000   0.000
ptbtime1.ptb.de .INIT.          16 u    -   64    0    0.000   +0.000   0.000
ptbtime2.ptb.de .INIT.          16 u    -   64    0    0.000   +0.000   0.000
ptbtime3.ptb.de .INIT.          16 u    -   64    0    0.000   +0.000   0.000
lucy.thehomeofa .INIT.          16 u    -   64    0    0.000   +0.000   0.000
clock2.infonet. .INIT.          16 u    -   64    0    0.000   +0.000   0.000
where-you.at    .INIT.          16 u    -   64    0    0.000   +0.000   0.000


root@opnsense:~ # ntptime
ntp_gettime() returns code 5 (ERROR)
  time e4ac4b00.de4dd000  Wed, Jul 28 2021 23:30:40.868, (.778868375),
  maximum error 16640000 us, estimated error 16000000 us, TAI offset 0
ntp_adjtime() returns code 5 (ERROR)
  modes 0x0 (),
  offset 0.000 us, frequency 41.639 ppm, interval 4 s,
  maximum error 16640000 us, estimated error 16000000 us,
  status 0x41 (PLL,UNSYNC),
  time constant 3, precision 0.000 us, tolerance 496 ppm,
  pps frequency 41.639 ppm, stability 0.000 ppm, jitter 0.000 us,
  intervals 0, jitter exceeded 0, stability exceeded 0, errors 0.


Warum synchronisiert NTP nicht mehr, was kann ich tun?

Was ich ebenfalls probiert hatte war, den Dienst neu zu installieren, leider hat dies auch nichts gebracht. Laut Firewallprotokoll, sind die NTP Server über den Port 123 erreichbar.

Allerdings verstehe ich nachfolgend nicht, warum NTP keine Daten bekommt?

root@opnsense:~ # ntpdate -d 0.opnsense.pool.ntp.org
29 Jul 00:22:05 ntpdate[91089]: ntpdate 4.2.8p15@1.3728-o Thu Jul 22 12:42:45 UTC 2021 (1)
transmit(144.76.76.107)
transmit(162.159.200.123)
transmit(194.36.144.87)
transmit(185.242.112.53)
transmit(144.76.76.107)
transmit(162.159.200.123)
transmit(194.36.144.87)
transmit(185.242.112.53)
transmit(144.76.76.107)
transmit(162.159.200.123)
transmit(194.36.144.87)
transmit(185.242.112.53)
transmit(144.76.76.107)
transmit(162.159.200.123)
transmit(194.36.144.87)
transmit(185.242.112.53)
144.76.76.107: Server dropped: no data
162.159.200.123: Server dropped: no data
194.36.144.87: Server dropped: no data
185.242.112.53: Server dropped: no data

29 Jul 00:22:14 ntpdate[91089]: no server suitable for synchronization found


Anmerkung: NTP kann über 0.opnsense.pool.ntp.org von einer andere Sense problemlos synchronisiert werden.

Hi,

eigentlich sollen nur zwei Hosts mittels Aliase geblockt werden aber irgendwie bekomme ich auf meinem Pi-Hole immer noch DNS abfragen vom AP.

Lange rede kurzer Sinn, so weit die Konfiguration, siehe Bilder:


[Edit]

Das Problem hat sich nach einem Neustart der Sense von alleine gelöst.

Hallo,

auf meiner Sense läuft ein NTP Service und im Protokoll steht "kernel reports TIME_ERROR: 0x2041: Clock Unsynchronized", ich habe schon die Suche bedient, allerdings keine adäquate Lösung gefunden die mein Problem löst.

Hallo,

ich würde gerne wissen, ob jemand von euch mir ein alternatives bzw. ähnliches Router-Gehäuse mit oder Hardware empfehlen kann.

Es geht dabei um ein 19" Super Micro Gehäuse, welches die Boardanschlüsse auf der Front Side zur Verfügung stellt.

https://www.supermicro.com/en/products/chassis/1u/505/sc505-203B

Eigentlich ein praktisches Teil, leider ziemlich teuer, ich würde das auch gerne so ähnlich realisieren in absehbarer Zukunft. Auf Tipps freue ich mich.

Grüße

[Was ist aber, wenn jetzt ein Client, eine Domain über TLS auflösen möchte, dann wird doch die FW Regel umgangen, oder? Wie könnte man das verhindern, auch wenn das jetzt im Moment kein akutes Problem darstellt, so finde ich doch besser darüber die Kontrolle zu behalten, welcher Service wo hingeht, weil für mich dabei ein privacy bzw. Sicherheitsrisiko entstehen könnte, zB. wenn ein Client über 8.8.8.8 per TLS geht, wäre mir das nicht recht.]

Moin,

kurze Frage allgemein zur DNS Auflösung über TLS. Ich habe die Sense FW so konfiguriert, dass alle DNS Anfragen vom LAN an die Sense selbst weitergeleitet werden, quasi Standard Port 53.

Das funktioniert so weit zufriedenstellend, lokale Domain werden aufgelöst + externe DNS Anfragen werden auf die DNS-Server weitergeleitet, die unter System eingetragen wurden. Passt!

Was ist aber, wenn jetzt ein Client, eine Domain über TLS auflösen möchte, dann wird doch die FW Regel umgangen, oder? Wie könnte man das verhindern, auch wenn das jetzt im Moment kein akutes Problem darstellt, so finde ich doch besser darüber die Kontrolle zu behalten, welcher Service wo hingeht, weil für mich dabei ein privacy bzw. Sicherheitsrisiko entstehen könnte, zB. wenn ein Client über 8.8.8.8 per TLS geht, wäre mir das nicht recht.

Beste Grüße

Hallo,

der DNS Unbound auf meiner Sense arbeitet soweit, für die Auflösung von externen Domains und auch für Hosts für die ich einen .domain Suffix dranhänge.

Code Select Expand


Ping wird ausgeführt für seven.XXXX  [192.168.0.14] mit 32 Bytes Daten:
Antwort von 192.168.0.14: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.0.14: Bytes=32 Zeit<1ms TTL=64

Ping-Statistik für 192.168.0.14:
    Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms



Allerdings, wenn ich in Windows CMD einen nslookup mache und keinen Domain Suffix dran hänge, zeigt er mit Host.local an.

Code Select Expand


Ping wird ausgeführt für SEVEN.local [192.168.0.14] mit 32 Bytes Daten:
Antwort von 192.168.0.14: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.0.14: Bytes=32 Zeit<1ms TTL=64

Ping-Statistik für 192.168.0.14:
    Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms



In Unbound sind die Lokalen Rechner bei Überbrücken eingetragen, wie kann ich die Namensauflösung bzw. Unbound konfigurieren, damit ich auch ohne angehängten Domainsuffix auflösen kann? Ich sehe auch gerade das die Linux Rechner im Netz das anscheinend auch nicht können, liegt das dann am DNS Server? Und es soll auf keinen Fall irgendwas mit der Host datei gebastelt werden, der Name Server muss das managen können ;D

Hallo,

ich kann irgendwie nicht nachvollziehen, woher eine bestimmte DNS Anfrage kommt. Hinter meiner OPNsense ist ein Pi-Hole auf welche alle DNS Anfragen aus dem LAN per FW Regel umgeleitet werden.

LAN (192.168.0.0) -> (192.168.0.12) OPNsense (192.168.1.1) ->  (192.168.1.0) -> Router -> (WWW)

Ich werde aus den Logs nicht schlau, in den FW-Logs Live-view kann ich zwar die einzelnen Verbindungen sehen die aufgebaut werden, daraus kann ich die Quelle nicht ableiten.

Die Zeitstempel vom Pi-Hole und der OPNsense lassen sich ja vergleichen aber immer wenn dieser komische Request erfolgt, steht als src die WAN Schnittstelle der Opnsense da?

Weiterhin meldet mein DNSmasq : possible DNS-rebind attack detected: unifi.**** das kommt minütlich, die unifi-AP habe ich versucht zu blockieren, bringt aber nichts :(

Das ist FW Rule dazu: (Unter FW -> Regeln -> LAN)

Block IPv4 *    192.168.0.154    *    *    *    *    *


Könnte mir das bitte jemand erklären? Zu mindestens wo ich nachsehen muss woher die Requests kommen?

Danke!

Moin,

warum geht alle paar Wochen das WAN Interface an meiner OPNSens down, ohne für mich zu mindestens erkennbaren Grund?

Heute gerade schon wieder... Kann mir bitte jemand einen Tipp geben ::)




Log Allgemein:

2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: removing /tmp/igb1_defaultgw
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: setting IPv4 default route to 192.168.1.12
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: IPv4 default gateway set to wan
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: entering configure using 'wan'
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: HOTPLUG: Configuring interface wan
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet attached event for wan
2020-03-26T02:26:39   kernel: igb1: link state changed to DOWN
2020-03-26T02:26:39   kernel: igb1: link state changed to UP
2020-03-26T02:26:35   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet detached event for wan
2020-03-26T02:26:35   kernel: igb1: link state changed to DOWN
2020-03-26T02:30:12   opnsense: plugins_configure ipsec (execute task : ipsec_configure_do(,wan))
2020-03-26T02:30:12   opnsense: plugins_configure ipsec (,wan)
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: ROUTING: creating /tmp/igb1_defaultgw using '192.168.1.12'
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: ROUTING: removing /tmp/igb1_defaultgw
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: ROUTING: setting IPv4 default route to 192.168.1.12
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: ROUTING: IPv4 default gateway set to wan
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: ROUTING: entering configure using 'wan'
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: HOTPLUG: Configuring interface wan
2020-03-26T02:30:12   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet attached event for wan
2020-03-26T02:30:12   kernel: igb1: link state changed to UP
2020-03-26T02:27:59   opnsense: /index.php: Successful login for user 'root' from: 192.168.0.26
2020-03-26T02:26:41   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet detached event for wan
2020-03-26T02:26:41   opnsense: plugins_configure dns (execute task : unbound_configure_do())
2020-03-26T02:26:40   opnsense: plugins_configure dns (execute task : dnsmasq_configure_do())
2020-03-26T02:26:40   opnsense: plugins_configure dns ()
2020-03-26T02:26:40   opnsense: plugins_configure dhcp (execute task : dhcpd_dhcp_configure())
2020-03-26T02:26:40   opnsense: plugins_configure dhcp ()
2020-03-26T02:26:40   opnsense: plugins_configure ipsec (execute task : ipsec_configure_do(,wan))
2020-03-26T02:26:40   opnsense: plugins_configure ipsec (,wan)
2020-03-26T02:26:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: creating /tmp/igb1_defaultgw using '192.168.1.12'
2020-03-26T02:30:41   opnsense: plugins_configure dns ()
2020-03-26T02:30:40   opnsense: plugins_configure dhcp (execute task : dhcpd_dhcp_configure())
2020-03-26T02:30:40   opnsense: plugins_configure dhcp ()
2020-03-26T02:30:40   opnsense: plugins_configure ipsec (execute task : ipsec_configure_do(,wan))
2020-03-26T02:30:40   opnsense: plugins_configure ipsec (,wan)
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: creating /tmp/igb1_defaultgw using '192.168.1.12'
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: removing /tmp/igb1_defaultgw
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: setting IPv4 default route to 192.168.1.12
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: IPv4 default gateway set to wan
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: ROUTING: entering configure using 'wan'
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: HOTPLUG: Configuring interface wan
2020-03-26T02:30:40   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet attached event for wan
2020-03-26T02:30:39   kernel: igb1: link state changed to UP
2020-03-26T02:30:34   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet detached event for wan
2020-03-26T02:30:34   kernel: igb1: link state changed to DOWN
2020-03-26T02:30:13   opnsense: plugins_configure dns (execute task : unbound_configure_do())
2020-03-26T02:30:13   opnsense: plugins_configure dns (execute task : dnsmasq_configure_do())
2020-03-26T02:30:13   opnsense: plugins_configure dns ()
2020-03-26T02:30:12   opnsense: plugins_configure dhcp (execute task : dhcpd_dhcp_configure())
2020-03-26T02:30:12   opnsense: plugins_configure dhcp ()
   
2020-03-26T02:30:47   opnsense: plugins_configure dns (execute task : unbound_configure_do())
2020-03-26T02:30:47   opnsense: plugins_configure dns (execute task : dnsmasq_configure_do())
2020-03-26T02:30:47   opnsense: plugins_configure dns ()
2020-03-26T02:30:46   opnsense: plugins_configure dhcp (execute task : dhcpd_dhcp_configure())
2020-03-26T02:30:46   opnsense: plugins_configure dhcp ()
2020-03-26T02:30:46   opnsense: plugins_configure ipsec (execute task : ipsec_configure_do(,wan))
2020-03-26T02:30:46   opnsense: plugins_configure ipsec (,wan)
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: ROUTING: creating /tmp/igb1_defaultgw using '192.168.1.12'
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: ROUTING: removing /tmp/igb1_defaultgw
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: ROUTING: setting IPv4 default route to 192.168.1.12
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: ROUTING: IPv4 default gateway set to wan
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: ROUTING: entering configure using 'wan'
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: HOTPLUG: Configuring interface wan
2020-03-26T02:30:46   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet attached event for wan
2020-03-26T02:30:46   kernel: igb1: link state changed to UP
2020-03-26T02:30:42   opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet detached event for wan
2020-03-26T02:30:41   opnsense: plugins_configure dns (execute task : unbound_configure_do())
2020-03-26T02:30:41   kernel: igb1: link state changed to DOWN
2020-03-26T02:30:41   opnsense: plugins_configure dns (execute task : dnsmasq_configure_do())
2020-03-26T02:30:41   opnsense: plugins_configure dns ()

Hallo,

kann mir bitte jemand helfen, ich hab hier das Problem das ich Monit nicht starten kann.

/usr/local/etc/monitrc:12: unbalanced quotes '"'

Hallo,

könnte mir bitte jemand erklären, wie ich an meiner APU ein Interface vom Wlan auf das interne LAN Brigde und dabei nur erlaubte MAC's zulasse.

Die Sense arbeitet aktuell als NAT zwischen LAN und Externennetz, die NAT sollte von der Bridge nicht beeinflußt werden.

Über die Suche hatte ich zwar etwas zu Bridging gefunden, bin mir aber jetzt nicht sicher ob dies auch für mein Vorhaben funktioniert?

Es gibt meinerseits noch einige kleine Fragen, die noch offen sind, deshalb gleich noch ein zweites Posting hinterher :)

Ist es möglich seine Browserinformationen mittels Squid-Proxy zu verschleiern um Tracking zu umgehen oder benötigt man dafür eine VPN-Verbindung? Die Benutzung diverser Browser kann das Tracken ebenfalls verschlechtern, bei letzterem ist Tracking auch durch Plugins und vom Browser weitergegebene Informationen wie zB. installiertes Betriebssystem möglich, kann das ein Proxy sinnvoll handlen?(Auch wenn man seinen Browser modifizieren kann, ist die Frage eher allg. zu verstehen, die Möglichkeit der Zentralisierung in Netzwerkumgebungen hat eben seine Vorteile;))

Welche Sicherheitsmaßnahmen bzw. Firewallregeln sind noch sinnvoll an der FW, instrusion detection soll sehr Leistungshungrig sein und schützt nur wenn man rechtzeitig informiert wird? Was sind so die minimum Konfigurationen die ihr empfehlen könnt?

Würde mich über ein paar informative Beiträge freuen. Grüße

[Zu meiner Frage]

Moin,

bin ziemlich neu hier und leider noch rel. unerfahren mit OPNsense, finde das Projekt schon länger sehr interessant und spannend :)

Mein Router (APU4C4) wurde mit OPNsense 19.7.2 aufgesetzt, bisher arbeite ich noch an einer sicheren und zuverlässigen DNS konfiguration. Mit Unbound hatte ich so meine Schwierigkeiten, deshalb wurde zu dnsmasq gewechselt, das läuft prima soweit. Meine Server im LAN wurde overwritten und können ebenfalls aufgelöst werden.

Zu meiner Frage, als DNS Server sind die beiden Pi-Holes eingetragen, um den DNS Traffic zusätzlich zu filtern und etwas einzudämmen. Jetzt habe ich aber festgestellt, dass von meiner WAN Schnittstelle DNS Anfragen an 8.8.8.8 und 8.8.4.4 raus gehen. Verstehe nicht warum die FW das macht, ein Google DNS Service wurde von mir in keinster Weise konfiguriert.


Meine Idee ist zunächst, den gesamten DNS Traffic über die FW zu leiten und die Requests an die Pi holes weiter zu geben.

Wäre mein Vorhaben so machbar? -> https://forum.opnsense.org/index.php?topic=9245.msg41626#msg41626

Würde mich über eine Antwort freuen!

Gruß