Topics

1

20.1 Legacy Series / Help, killed my DNS

« on: July 18, 2020, 07:30:46 pm »

Hi,

I'm using DNS NAT to redirect DNS transfer to local unbound. This was working until yesterday. I've no idea what I've changed, suddenly DNS resultions doesn't work any more. On logs I see incoming DNS/UDP packets rejected and I have no idea why? Any hints?

2

German - Deutsch / egress Filter Evaluation

« on: July 17, 2020, 05:43:45 pm »

Hello OPNsense Freunde,

wie werden die Regeln für egress Filtering bzgl. Reihenfolge angewandt? Die Doku (https://docs.netgate.com/pfsense/en/latest/book/firewall/ingress-and-egress-filtering.html#egress-filtering) ist nicht sehr aussagekräftig, oder ich habe nicht aufmerksam genug gelesen.

Ich habe mich diesem mal angenommen (siehe auch [Egress Filtering FAQ - SANS Institute](https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059)) und was heraus gekommen ist ist im Anhang zu sehen - ein Misch aus ingress und egress Filtering bzgl. Reihenfolge. Oder ist das bzgl. in/out egal?

Ich überlege mir, gerade den MS Kram mit in die Silent Block Category aufzunehmen - da schwirrt ja eine Menge rum. Was sagen die Praktiker dazu?

3

20.1 Legacy Series / [solved] build qrencode as BSD port

« on: July 16, 2020, 06:27:30 pm »

Hello OPNsense friends,

for a self written script I require qrencode. I installed the opnsense tools and ports and found:

Code: [Select]

/usr/ports/graphics/qr-code-generator

but failed to compile it:

Code: [Select]

sudo make install
===>   qr-code-generator-1.6.0 depends on package: gmake>=4.3 - found
usage: install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 file2
       install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 ... fileN directory
       install -dU [-vU] [-g group] [-m mode] [-N dbdir] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               directory ...
*** Error code 64

Stop.
make: stopped in /usr/ports/graphics/qr-code-generator

Before, I compiled and build htop successfully, which was quite easy. So, what is the way to compile/install this? My first attempt was to compile py-qrencode, but it will install a lot of other and therefore unwanted tools! Hence I ^C the build ....

Finally I only want to call

Code: [Select]

echo "Foo Bar" | qrencode -t ANSIUTF8

to get my QR Code.

4

20.1 Legacy Series / OPNsense blocks non-existent IP from WAN

« on: July 12, 2020, 04:49:51 pm »

Hello,

I have here a strange blocking message about SSDP Protokoll Port 1900 from host which shouldn't exist there. My network topology is as of:

Code: [Select]

Internet
   |
   |
Provider IP
   |
Cable Modem (Web API 192.168.0.1)
 |       |
 |       +-- 192.168.0.10 pfsense (old Setup, to be replaced)
 |
 +-- 192.168.0.111 (WAN)
       OPNsense (current setup)

Dst '239.255.255.250' is the multicast SSDP adress  with port 1900 (see [Simple Service Discovery Protocol](https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol)) which I want to silent block next time; but, where from comes the source IP? There should be only the two from the senses, there is no WLAN on cable modem active!

Anyway, does the pf rule attached do the job (no idea about netmask and brastcast 'IP's)?

5

German - Deutsch / Squid/ClamAV/C-ICAP und SSL Probleme

« on: July 12, 2020, 09:47:35 am »

Hello OPNsense Freunde,

irgendwie habe ich meine Config bei obigen Plugins/Pckgs vermurckst - ein Neu-Install hat nix gebracht, da die Web Konfig behalten wird und ich so nicht wieder "von vorne" anfangen kann. Daher die Frage, wie resette ich diese?

Aber nun zum Problem. Ich behaupte, ich bin vorgegangen wie in [Setup Transparent Proxy](https://docs.opnsense.org/manual/how-tos/proxytransparent.html#setup-transparent-proxy) beschrieben

Rufe ich dann den EICAR via http auf (http://www.rexswain.com/eicar.html) bekomme ich die Warn-Meldung. Rufe ich per https auf (https://www.eicar.org/?page_id=3950) kommt keine Meldung - ich kann ungehindert runterladen. Eine kurze Zeit bekam ich diesen auch mal zu sehen, plötzlich nicht mehr. Im FF konnte ich oben sehen "zertifiziert von HomeLAN CA" (oder so - meine self-signed interne CA). Chrome ist da zickiger. Das self-signed CA CRT habe ich system-wide auf meine Fedora Installation gebracht, was im FF auch als "System Trust" in der Zertifikatsverwaltung angezeigt wird.

Auf der Sense laufen all Prozesse (es gab auch mal lt. Logs einen Crash, daher die oben erwähnte Neuinstallation):

Code: [Select]

admin@OPNsense:~ % sudo sockstat  -l | egrep '(clamav|icap|squid)'
c_icap   c-icap     35415 5  tcp6   *:1344                *:*
c_icap   c-icap     28209 5  tcp6   *:1344                *:*
c_icap   c-icap     57726 5  tcp6   *:1344                *:*
c_icap   c-icap     3990  5  tcp6   *:1344                *:*
clamav   clamd      78715 4  tcp4   127.0.0.1:3310        *:*
clamav   clamd      78715 5  stream /var/run/clamav/clamd.sock
squid    squid      68856 11 udp46  *:25886               *:*
squid    squid      68856 20 udp4   *:58766               *:*
squid    squid      68856 47 tcp4   127.0.0.1:3128        *:*
squid    squid      68856 48 tcp6   ::1:3128              *:*
squid    squid      68856 49 tcp4   127.0.0.1:3129        *:*
squid    squid      68856 50 tcp6   ::1:3129              *:*
squid    squid      68856 51 tcp4   192.168.20.1:3128     *:*
squid    squid      68856 52 tcp4   192.168.1.1:3128      *:*
squid    squid      88504 9  dgram  (not connected)
mit

Code: [Select]

admin@OPNsense:~ % cat /usr/local/etc/squid/squid.conf
http_port 127.0.0.1:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port [::1]:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port 127.0.0.1:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port [::1]:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.20.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.1.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/squid/ssl_crtd -M 4MB
sslcrtd_children 5
tls_outgoing_options options=NO_TLSv1 cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
acl bump_step1 at_step SslBump1
acl bump_step2 at_step SslBump2
acl bump_step3 at_step SslBump3
acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
ssl_bump peek bump_step1 all
ssl_bump splice all
ssl_bump peek bump_step2 all
ssl_bump splice bump_step3 all
ssl_bump bump
sslproxy_cert_error deny all
acl ftp proto FTP
http_access allow ftp
acl localnet src 192.168.20.0/24 # Possible internal network (interfaces v4)
acl localnet src 192.168.1.0/24 # Possible internal network (interfaces v4)
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl remoteblacklist_Shallalist.de dstdomain "/usr/local/etc/squid/acl/Shallalist.de"
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icap_enable on
icap_default_options_ttl 60
adaptation_send_client_ip on
adaptation_send_username off
icap_client_username_encode off
icap_client_username_header X-Username
icap_preview_enable on
icap_preview_size 1024
icap_service response_mod respmod_precache icap://[::1]:1344/avscan
icap_service request_mod reqmod_precache icap://[::1]:1344/avscan
include /usr/local/etc/squid/pre-auth/*.conf
adaptation_access response_mod deny remoteblacklist_Shallalist.de
adaptation_access request_mod deny remoteblacklist_Shallalist.de
http_access deny remoteblacklist_Shallalist.de
adaptation_access response_mod deny !Safe_ports
adaptation_access request_mod deny !Safe_ports
http_access deny !Safe_ports
adaptation_access response_mod deny CONNECT !SSL_ports
adaptation_access request_mod deny CONNECT !SSL_ports
http_access deny CONNECT !SSL_ports
adaptation_access response_mod allow localhost manager
adaptation_access request_mod allow localhost manager
adaptation_access response_mod deny manager
adaptation_access request_mod deny manager
http_access allow localhost manager
http_access deny manager
adaptation_access response_mod deny to_localhost
adaptation_access request_mod deny to_localhost
http_access deny to_localhost
include /usr/local/etc/squid/auth/*.conf
adaptation_access response_mod allow localnet
adaptation_access request_mod allow localnet
http_access allow localnet
adaptation_access response_mod allow localhost
adaptation_access request_mod allow localhost
http_access allow localhost
adaptation_access response_mod deny all
adaptation_access request_mod deny all
http_access deny all
include /usr/local/etc/squid/post-auth/*.conf
cache_mem 256 MB
cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache
refresh_pattern pkg\.tar\.xz$   0       20%     4320 refresh-ims
refresh_pattern d?rpm$          0       20%     4320 refresh-ims
refresh_pattern deb$            0       20%     4320 refresh-ims
refresh_pattern udeb$           0       20%     4320 refresh-ims
refresh_pattern Packages\.bz2$  0       20%     4320 refresh-ims
refresh_pattern Sources\.bz2$   0       20%     4320 refresh-ims
refresh_pattern Release\.gpg$   0       20%     4320 refresh-ims
refresh_pattern Release$        0       20%     4320 refresh-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)     4320 80% 129600 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd) 4320 80% 129600 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)       4320 80% 129600 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_v4_first on
access_log stdio:/var/log/squid/access.log squid
cache_store_log stdio:/var/log/squid/store.log
httpd_suppress_version_string on
uri_whitespace strip
forwarded_for on
logfile_rotate 0
cache_mgr root@home.lan
error_directory /usr/local/etc/squid/errors/en-us
Was hier auffällt ist der fehlende SSL 3129 Port an 192.168.1.1 (LAN1 mein aktuelles non-VLAN) und 192.168.20.1 (LAN mit VLAN=20 soll LAN1 später ersetzen). Ich hoffe, ich habe alle relevanten Screenshots gemacht.

6

German - Deutsch / Cron Jobs, DNS-O-Matic Problem [solved]

« on: July 06, 2020, 06:01:03 pm »

Hallo,

wo werden eigentlich die CRON jobs bei opnsense angelegt? Ich habe einen angelegt für Open-/DynDNS, der ist aber nicht in '/etc/crontab' zu finden, obwohl angelegt (und apply gedrückt). Gewollt ist das Update an jedem ersten des Monats um 6:00 Uhr. Der Termin ist vorbei und ich bekomme eine Meldung von NoIP über den Auslauf des Eintrages, wobei ich den DynDNS OpenDNS service verwende.

Code: [Select]

$ cat /etc/crontab | egrep -v '^#'
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
*/5 * * * * root /usr/libexec/atrun
*/11 * * * * operator /usr/libexec/save-entropy
0 * * * * root newsyslog
1 3 * * * root periodic daily
15 4 * * 6 root periodic weekly
30 5 1 * * root periodic monthly
1,31 0-5 * * * root adjkerntz -a

$ ll /etc/cron.d/
total 0


7

German - Deutsch / DNS Redirect Probleme

« on: July 04, 2020, 10:46:03 am »

Hallo OPNsense Freunde,

aktuell versuche ich für mein Gäste WLAN den DSNMasq Forwarder per NAT auf das Interface los zu lassen - und bin gescheitert

Unter Services/Dnsmasq habe ich diesen enabled und den Port auf 5335 mit strict Binding gesetzt, da ich Unbound für die anderen Interfaces verwende. Für den 5335 ein Alias eingerichtet und NAT Regeln erzeugt, die NAT Rule als ersten Match plaziert. Dennoch zeigt mir das Log, dass die Clients auf Port 53 zugreifen und entsprechend abgewiesen werden. Wie bekomme ich das hin? IMO habe ich mich an die OPNsense Doku gehalten ...

8

20.1 Legacy Series / Captive Portal and Voucher

« on: July 01, 2020, 10:21:36 am »

Hello OPNsense friends,

to allow my guest WLAN access, I added a captive portal (CP) - no problem so far. I'm using an Unifi WLAN AP Lite and OPNsense captive portal. At this time, the guest WLAN has an own SSID with PSK managed by Unifi - than the guest is landing on CP/OPNsense ...

I was able to generate the CSV file for amount of time limited user/passwords. The generated user/passwd pairs looks strong (special chars). So, the idea was to generate QR Codes to avoid misspellings. So, here I am. A lot of WEB resources can generate QR Codes for SSID/PSK/WPA combos etc. How to handle concrete the CP login page here?


I would assume, the QR has to encode the CP URL with this embedded in, isn't? It did not found the URI format for this. The URI must be (in my case) http://192.168.40.1:8000 ?
How to handle the SSID? A further QR code here?

Thanks

9

German - Deutsch / Bedeutung von Source in Regeln

« on: June 22, 2020, 05:15:53 pm »

Hallo OPNsense Freunde,

aktuell beschäftige ich mich mit VLANS ect. Dabei bin ich zB. auch nach https://nguvu.org/pfsense/pfsense-baseline-setup/ vorgangen. Klingt alles soweit plausibel . Allerdings ist mir generell aufgefallen, dass einige als Source das jeweilige Netz angeben (ingress filtering?), andere als Source nur '*'/any angeben (sollte imo auch ingress filtering sein). Welche Auswirkungen haben diese beiden Ansätze bzw. welche Idee steckt dahinter?

Ich könnte mir 'böse Buben/Mädels' vorstellen, die zB. in das LAN einen ungewollten WiFi AP einbringen, womit auch andere Netzte als gewollt plötzlich 'drinnen' wären. Erster Ansatz würde dieses bei der WLAN Regel (siehe https://nguvu.org/images/170127-080-vl40_guest-rules.png) unterbinden, bei Source=any/'*' dieses dennoch ungewollt erlauben, oder etwa doch nciht? Liege ich mit den Überlegungen richtig?

10

20.1 Legacy Series / Imported Trust Authorities

« on: June 11, 2020, 09:01:49 pm »

Hi,

can I use (or even is it supported) an external Security token like the Nitrokey Start with PGP keys with the Trust/Authorities? I would assume I have to use 'Import an exsisting Certificate Authority' but the question rise how to enter the pass phrase for the private key than. The Nitro Key must be probably placed on the OPNsense box I would assume.

Thanks in advance

11

German - Deutsch / Meine Firewall Regel killt die SSH Verbindung

« on: May 31, 2020, 02:44:44 pm »

Hallo Opnsense Freunde,

offenbar habe ich ein echtes Problem mit dem Verstehen der Firewall rules (oder/und mir fehlt der Background).

Ich habe per VLAN ein Mgmt Netz aufgebaut und bekomme nach kurzer Zeit Verbindungsabbrüche, die sich mit den Tips aus dem INet (KeepAlive... etc.) nicht lösen lassen. Inzwischen kam ich auf die Idee, die FW Regeln mal loggen zu lassen. Für mich sehen die Regeln ok aus, das Log sagt aber etwas anderes, siehe mgmt_RULES.png

Aktive Rules sind #1 und #2

Pass: IPv{4,6} Source Mgmt Network any Port -> Opnsense Mgmt Network IP any port
Pass: IPv{4,6} Source Mgmt Network any Port -> any IP im Mgmt Network any port

ursprünglich sollte der Verkehr aus dem Mgmt Net in andere Netze zudem geblockt werden - was die default block Rule auch macht, wie ich inzwischen im Log gesehen habe.

Das Log sieht dann so aus mgmt_LOG.png.

Die Verbindung von meinem Host 192.168.10.100 nach 192.168.10.11:22 wird aufgebaut und eine Weile gehalten, dann wird geblockt was das Zeug hält. Das war nicht so beabsichtigt und erklärt meine Abbrüche mit der SSH Verbindung.

Wo ist meine Wissenslücke/Denkfehler und wie bekomme ich meine SSH Verbindung wieder hin ohne alles "offen" zu haben? Ich gehe davon aus, das Mgmt Traffic auch in diesem Netzt bleiben soll ...

Vielen Dank

12

20.1 Legacy Series / [solved] understanding 'usecase' of default deny rule

« on: May 30, 2020, 08:56:35 pm »

Hi,

just I revised the logs and saw a default deny rule active, details see attachement. The private IP from SRC it's me, the Dst adress is Dropbox (https://whois.domaintools.com/162.125.35.135) which I use. So what triggers these, since I don't expected it (and even dropbox seems still to work as expected).

13

20.1 Legacy Series / DMZ considerations for home lan

« on: May 22, 2020, 05:48:23 pm »

Hello,

I've read something about DMZ and try to realize them for my home lan now, but want to have a plan before

Locally, I've opnsense on APU4C4 with LAN+WAN and a VLAN aware switch (zyxel GS1900).
The LAN is 192.168.1.0/24. Hence 2 (with WAN) of the 4 ports are gone. I like to add the DMZ with 2 clients at igb2 to spreat the bandwith. Further I want to add a Mgmt VLAN and the 'CableVLAN'.

The DMZ shall have the net 192.168.90.0/24 and the Mgmt 192.168.10.0/24, CableVLAN 192.168.20.0/24. In my case probably obvious is the use of VLAN Tag=10 for Mgmt, VLAN Tag=20 for CableVLAN. But how to realize the DMZ? As 'physical' net 192.168.90.0/24 or as VLAN Tag=90 as 192.168.90.0/24 with e.g. 192.168.2.0/24 as underlaying LAN segment??

One of the Server is  Docker Host, running UNIFI Controller Software. As far I've understood the simplest solution is to allow the LAN segment PVID=1 rule to the inform URI from Unifi AP / WLAN network (e.g. VLANs 192.168.{30,40}.0/24 for WiFi and Guests). Setting the inform network to Mgmt network is possible, but for an home lan overkill and may result into cutting of the access risk to the AP (I've read).

Can I wire both LAN(igb0) and DMZ(igb2) from opnsense box to the switch (ports tagged according of course) and plug in both servers to the same switch too? The switch has strong backplate to allow parallel traffics.

Maybe have the option to create DMZ#2 with VLAN=91 later on?

Are my considerations usefull/clear?

Thanks in advance

14

20.1 Legacy Series / So Sloow SSH login by use of FQDN

« on: May 22, 2020, 03:59:06 pm »

Hello,

Im just starting to migrate from pfsense to opnsense. So, only LAN and default rules are here. I created an admin account with SSH keys, root isn't allowed to login, also no password login.

If I login using FQDN of my opnsense it takes really time (~5min):

Code: [Select]

        date && ssh admin@opnsense.home.lan
        Fr 22. Mai 15:45:21 CEST 2020
        Last login: Fri May 22 15:41:09 2020 from 192.168.1.100
        ----------------------------------------------
        |      Hello, this is OPNsense 20.1          |         @@@@@@@@@@@@@@@
        |                                            |        @@@@         @@@@
        | Website: https://opnsense.org/        |         @@@\\\   ///@@@
        | Handbook: https://docs.opnsense.org/   |       ))))))))   ((((((((
        | Forums: https://forum.opnsense.org/  |         @@@///   \\\@@@
        | Lists: https://lists.opnsense.org/  |        @@@@         @@@@
        | Code: https://github.com/opnsense  |         @@@@@@@@@@@@@@@
        ----------------------------------------------
        admin@OPNsense:~ % date
        Fri May 22 15:49:51 CEST 2020

Using the IP I'm immediately on the opnsense box. Even changes of the unbound override doesn't change it. Using the web UI is also fast.

Attached my unbound changes. So, what is the reason and how to fix it?

EDIT:

nslookup is quite fast ...

Code: [Select]

        $ nslookup opnsense.home.lan
        Server: 192.168.1.1
        Address: 192.168.1.1#53

        Name: opnsense.home.lan
        Address: 192.168.0.66
        Name: opnsense.home.lan
        Address: 192.168.1.1
        Name: opnsense.home.lan
        Address: 2a0c:d242:3805:3bf0:20d:b9ff:fe52:f724
        Name: opnsense.home.lan
        Address: fe80::20d:b9ff:fe52:f724
        Name: opnsense.home.lan
        Address: 2a0c:d242:3805:3b00:20d:b9ff:fe52:f725
        Name: opnsense.home.lan
        Address: fe80::20d:b9ff:fe52:f725

Thanks

15

German - Deutsch / Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 06, 2020, 09:32:27 pm »

Hallo opnsense Freunde,

der Titel ist evtl. etwas irreführend, daher meine Idee am Anhang. Ich habe eine APU4, bei der ich den gesamten WLAN Kram auf eine von den 4 Dosen legen wollte um ggf. alles mit einmal sperren/ziehen zu können.
Aktuell gibt es bei mir keine DMZ und das Unifi UFO hängt bei mir im LAN, konfiguriert via Unifi Controller auf einem Mini PC als Docker Image. Das geht soweit gut, obwohl mir da schon als Freizeit Admin unwohl ist. Daher alles auf die igb2.

Die Tutorials, welche ich gefunden habe, haben alle? mit VLAN und vom Unifi-Controller aus gearbeitet. Mir ist aber nicht klar, wie ich einen dummen AP aus dem AC Lite machen soll - um alles auf der opnsense zu machen - Vaucher etc. Auch läuft der Uni Controller ja im LAN und weiß erst'mal nichts vom VLAN .... Wie geht man da am besten vor - mit Für und Wider - ich finde den Unifi Controller einfach überfrachtet ...

Auch sollte der Unifi Controller, dem Rat aus diesem Forum folgend, nicht unbedingt auf opnsense laufen. Srv1 hat noch andere Aufgaben und IIR muss der Unifi Controller nicht ständig laufen (wir nur zur Konfig. benötigt).