OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of meschmesch »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - meschmesch

Pages: [1] 2
1
Intrusion Detection and Prevention / Suricate not working (any more)
« on: January 21, 2023, 05:49:16 pm »
Hello,
for a long time I had suricate with IPS mode running sucessfuly on WAN. Recently I did a check on my system and found out that no alerts were present any more. I removed all rules, installed opnsense.test.rules and did a check with eicar.com.txt (on http!, not https). Eicar was neither reported in IDS nor in IPS mode. I'm on OPNsense 22.7.11, everything up and running.

I have tried any kinds of combinations of settings in Suricata, including changing interfaces, Promiscuous mode, disabling and reanabling Suricata, deleting and reinstalling the opnsense.test.rules, reboot, but no success.

I would appreciate some guidance on how to track down the problem. It seems that from the webinterface of Opnsense alone I won't be succesful. If one of you professionals would take me by the hand and support me, that would be great. Many thanks.

2
Intrusion Detection and Prevention / [solved] Suricata stopped working after updating to OPNsense 22.7.6
« on: November 02, 2022, 07:06:00 pm »
After updating to OPNsense 22.7.6 Suricata stopped working. Starting suricata provides 100% CPU and errors:

Code: [Select]
2022-11-02T18:49:11 Error suricata [109401] <Error> -- [ERRCODE: SC_ERR_NETMAP_CREATE(263)] - opening devname netmap:igb0^ failed: Cannot allocate memory
igb0 is WAN. Suricata is running on WAN, Zenarmor is running on LAN and other interfaces (for Zenarmor WAN is not even available for selection).

I have a second machine running with more or less identical configuration (CARP, HA), no problems there.

Thank you!


PS: The problem was Sensei. Previously it was configured to listen on various VLAN and not physical interfaces. It worked fine for 2 years without any complaints. Supposedly an updated made Sensei more picky. After only selecting physical interfaces everything worked fine.


3
High availability / Ipv6 and Carp
« on: October 01, 2022, 07:21:05 pm »
Hello,
I have a problem understanding Ipv6 and CARP and hope for a brief explanation or clarification.

For each interface (LAN etc.) there is a Carp fe80::2:1/64 virtual IP.
  • Question 1) for the WAN is it also possible to have such an fe80 virtual IP or is it inevitable to have a global IPv6 address for CARP (e.g. 1a02:800b:d12f:fe20::100/64)?
  • Question 2) I know that the local IPv6 of the interface itself (Interfaces->LAN) can be a global IPv6 address. However, is it also possible that it can be an IP "self-assigned" by the interface via IPv6 Configuration Type Track Interface WAN?
  • Question 3) in case the answer to 2) is positive, i.e. track interface ist possible, shall the IPv6 Prefix ID different for the same interface on the master node and backup node?

Thanks for the feedback!

PS: some time ago we had a discussion of forwarding IPv6 traffic in case of a HA systems. Forwarding to an fe80 address or an fd00 ULA address did not work for me. Instead I had to use the global address of the device (1a02:abcd:...). With the newly introduced feature of Alias "Dynamic IPv6 Host" that makes life so easy. Neither need of ULA nor any other dynamic host address any more. Thanks for the great job on that!!

4
German - Deutsch / [solved] DHCP funktioniert nicht mehr
« on: September 19, 2022, 09:49:17 am »
Hallo,
ich betreibe hier ein (privates) HA-System, welches über Monate hinweg stabil lief. Vor einer Woche beklagte sich jemand, dass er mit dem Handy über DHCP keine IP-Adresse mehr bekomme. Ich habe daraufhin im Handy die MAC von "zufällig" auf "Telefon-Mac" umgestellt und die IP-Adresse kam. In der Zwischenzeit ist es so, dass diverse Geräte per DHCP überhaupt keine IP-Adresse mehr beziehen, unabhängig davon ob DHCP Static Mapping oder frei.

Ich habe keine Ahnung, wo ich ansetzen soll. Geräte neu gestartet, DHCP-Deamon neu gestartet, statische Zuweisung gelöscht, Neustart von Opnsense. DHCP-Log zeigt z.B.

Code: [Select]
2022-09-19T09:45:33 Informational dhcpd DHCPOFFER on 192.168.2.136 to bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:45:33 Informational dhcpd DHCPDISCOVER from bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPACK on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPREQUEST for 192.168.2.133 (192.168.2.8) from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPOFFER on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPDISCOVER from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPACK on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPREQUEST for 192.168.2.133 from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:29 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:45:29 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:45:13 Informational dhcpd DHCPOFFER on 192.168.2.132 to 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:45:13 Informational dhcpd DHCPDISCOVER from 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:34 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:34 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:33 Informational dhcpd DHCPOFFER on 192.168.2.136 to bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:44:33 Informational dhcpd DHCPDISCOVER from bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPOFFER on 192.168.2.132 to 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPDISCOVER from 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:13 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10

Z.B. 5c:f3:70:4f:f4:15 ist ein Scanner, welcher bisher problemlos über DHCP funktioniert hat. Jetzt zieht er sich keine IP mehr? Das Spielchen DHCPDISCOVER, DHCPOFFER wiederholt sich 1-2mal die Minute.

Hat jemand eine Idee, wie man das Problem lösen kann? Wie gesagt, ich weiß nicht wo ich ansetzen soll. Danke!!!!

PS: Habe inzwischen die gesamte Hardware zwischen Opnsense und Endgerät (kabelgebunden!) getauscht, DHCP-Requests bleiben unbeantwortet.

Lösung : Der zentrale Switch war schuld. Hatte sich irgendwie aufgehängt und nach und nach immer weniger Pakete durchgelassen.  >:( Danke Tplink.

5
German - Deutsch / PPP funktioniert nicht mehr - Solved
« on: April 04, 2022, 10:36:48 pm »
Über USB habe ich einen LTE-Stick verbunden. Hat bis vor kurzem funktioniert. Habe vorhin gesehen, dass LTE down ist, bin dann in das Point-to-Point logfile gegangen, das voll war mit Einträgen. Der Versuch, das Log über den "Clear log" button zu löschen hat nicht funktioniert. Die Einträge sind nicht verschwunden. Daraufhin habe ich über System-Settings-Logging-Clear Logfiles alles gelöscht. Die Einträge waren daraufhin weg.

Allerding funktioniert nun bei PPP nichts mehr. Ich kann bei P2P-Devices ->Link Interfaces auswählen was ich will, es tut sich nichts. Reboot hilft auch nicht. Wie bekomme ich das wieder ans Laufen?

System: Log Files: General
Code: [Select]
2022-04-04T22:32:07 Error opnsense /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface LTE.
2022-04-04T22:32:05 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway 'fe80::...%igb0'
2022-04-04T22:32:05 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway '192.168.1.1'
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: The OPENVPNINTERFACE_GW monitor address is empty, skipping.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: The OPENVPNV6INTERFACE_GW monitor address is empty, skipping.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 1.1.1.1 via 10.64.64.0
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Choose to bind LTE on 10.29.172.158 since we could not find a proper match.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 2606:4700:4700::1111 via fe80::...%igb0
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Adding static route for monitor 8.8.8.8 via 192.168.1.1
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8 via 192.168.1.1
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: skipping IPv6 default route
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv6 default gateway set to wan
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: skipping IPv4 default route
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv4 default gateway set to wan
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: entering configure using 'opt4'
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: On (IP address: 10.29.172...) (interface: LTE[opt4]) (real interface: ppp0).
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: IPv4 renewal is starting on 'ppp0'
2022-04-04T22:31:00 Error opnsense /usr/local/etc/rc.filter_configure: ROUTING: keeping current default gateway 'fe80::...%igb0'
2022-04-04T22:31:00 Error opnsense /usr/local/etc/rc.filter_configure: ROUTING: keeping current default gateway '192.168.1.1'
2022-04-04T22:19:00 Error opnsense /usr/local/etc/rc.syshook.d/carp/20-openvpn: Resyncing OpenVPN instances for interface IPv6 DMZ Carp (fe80::10:2).

Lösung: PPP-Interface gelöscht und anschließend wieder hinzugefügt. Reboot. Jetzt tut wieder alles. Danke fürs Zuhören  ;D

6
German - Deutsch / [SOLVED] Webseiten teilweise nicht erreichbar
« on: March 02, 2022, 04:32:19 pm »
Hallo,
ich habe seit kurzem das Problem, dass ich im Netzwerk diverse Webseiten nicht mehr erreichen kann, darunter https://www.routerperformance.net/opnsense-repo/ (die definitiv online ist). Ping auf www.routerperformance.net funktioniert, nslookup auch. Ich habe weder ein Update gemacht, noch sonst irgendwas verändert. Da adguard über das o.g. repositoy installiert ist, funktionieren Updates auch nicht (update hängt bei dem Versuch, von mimugmail Daten abzurufen). Ich bin auf 21.7.8

Das Problem habe ich für viele unterschiedliche Domains, weiß aber nicht warum. Wie kann ich die Fehlerquelle finden?

Danke!!

UPDATE: Wenn ich CARP temporär deaktiviere, sind manche (nicht alle) Webseiten zugänglich. Ich habe keine Ahnung was da läuft.

7
High availability / No Failover on WAN Interface down
« on: January 31, 2022, 07:47:24 pm »
Hi,
I have the problem that no HA failover to the second system takes place in case WAN connection is lost. In case I physically disconnect the WAN cable, failover takes place. It also works in case i shut down the first system. But in case e.g. the WAN provider is not providing any packets any more, no failover to the second system occurs.

Does anyone have an idea how to solve that issue?
Thanks!

8
German - Deutsch / Vlan mit Switch langsam
« on: December 17, 2021, 08:13:38 am »
Hallo, auch auf die Gefahr hin, dass ich hier im Forum vollkommen falsch mit meinem Problem bin hoffe ich trotzdem, einen Lösungsansatz zu erhalten:

Auf meiner Firewall habe ich neben einem Management LAN (kein Vlan) auf igb1 noch 3 Vlans auf igb2. Ein Managed Switch sorgt sich um die Verteilung der Netze. Schließe ich nun igb 1 ohne den Switch direkt an einen Rechner an, habe ich eineDownloadrate um die 900Mbit. Igb1 direkt an den Switch (Vlan1 untagged) und von dort an den Rechner verringert die Geschwindigkeit merklich. Dabei erfolgt zunächst eine geschwindigkeitszunahme beim Download auf 650-700Mbit, gefolgt von einer graduellen Abnahme auf teilweise bis zu 500Mbit, manchmal auch nur auf 600Mbit. Dieses Phänomen sehe ich sowohl bei einem TP-Link Switch, als auch bei einem Netgear Switch den ich habe. Beim TP Link Switch kann ich erkennen, dass der dort verbaute Prozessor nicht mal annähernd an seine Belastungsgrenze kommt. Im Ergebnis scheint die Tatsache, dass im Switch die Verwendung von Vlan 802.1q eingeschaltet ist, massiv die Geschwindigkeit zu beeinflussen. Und das obwohl auf Igb1 die Pakete noch nicht einmal getagged sind und der Switch außer seiner normalen Weiterleitungsfunktion nichts tun muss.

Ich kapiere es nicht?? Danke für eure Ideen...

Update: Die Kette ist: WAN - Fritzbox - Firewall - Switch - Rechner. Mit iperf komme ich auch für Server im Internet über Firewall und Switch auf knapp 800Mbit, was aber nicht für "normale echte Downloads" und Speedtests aus dem Internet zutrifft?!? Da liegen die 800 nur ohne Switch an.

9
German - Deutsch / [Solved] Kurze Verständnisfrage Source bei Firewall-Regeln
« on: December 03, 2021, 12:44:24 pm »
Hallo,
bei der Erstellung von Firewall-Regeln habe ich üblicherweise z.B. beim LAN-Interface als Source * stehen, da ja lle Geräte im LAN unter die Regel fallen. Was bringt mir hier explizit als Source "LAN NET" anzugeben?

Danke für die Klarstellung!

10
German - Deutsch / [SOLVED] Unterteilung Netzwerk - Sicherheitsaspekte
« on: November 26, 2021, 10:34:48 am »
Hallo,
für das Familiennetzwerk zuhause zerbreche ich mir den Kopf, ob/wie ich hier durch Subnetze mehr Sicherheit ins Spiel bringen kann. Gerne würde mich eure Meinung hierzu interessieren. Stand der Dinge:
1. Gast Netzwerk dass nur nach ins WAN funken darf. Da sind auch die PCs der Kinder drin und deren Handys.
2. LAN Netzwerk mit NAS, Smart TV, Handys, PCs, WLAN-Steckdosen, sowie einem Raspberry sowohl als Heimautomationsserver und DNS-Server. NAS ist auch aus dem WAN erreichbar (SSH + Netxcloud).

Der Vorteil, alles im LAN Netzwerk zu haben ist, dass ich Bilder vom Handy auf dem Smart TV zeigen kann, sowie von allen Geräten (inkl. Smart TV und Handys) jederzeit über SMB auf Bilder und Videos der NAS zugreifen kann. Und mit jedem Handy und PC kann ich durch Zugriff auf den Raspberry Dinge im Haus steuern.

Das NAS und den Raspberry in ein separates Netzwerk zu stecken bringt vermutlich nicht viel, da ich auf die dort laufenden Dienste von allen Geräten aus zugreifen muss? Ich könnte höchstens die Handys (Wlan) und PCs in separaten Netzwerken unterbringen, sehe aber den Sicherheitsgewinn auch nicht so richtig. Bleiben nur die Geräte der Heimautomation, auf die ein direkter Zugriff mit PC/Handy/SmartTV nicht nötig ist.

Was übersehe ich? Ist eben ein ungutes Gefühl. Zu viele Einfallstore von außen, und keine Absicherung.

11
German - Deutsch / Best Practice, letzte Regel "allow all"
« on: November 03, 2021, 12:44:40 pm »
Hallo,
bei den LAN-Regeln ist bei mir die letzte Regel eine Allow All Regel. Was sollte man hier als Source angeben? Lan net? Oder Lan net + Net address? Oder "*"? Mir geht es um ausgehende Verbindungen, also nicht um Verbindungen die aus anderen Netzen ins LAN kommen.

Danke!!

12
German - Deutsch / Zugriff auf Web-Oberfläche
« on: October 31, 2021, 08:00:51 pm »
Hallo,
der Zugriff auf die Web-Oberfläche über das LAN-Interface klappt. Jeglicher anderer Versuch des Zugriffs über andere Interfaces klappt nicht. Die manuell gesetzen Einträge erlauben den Zugriff allerdings. Im Firewall Log erscheint ein Deny (Default deny rule, action"RDR"). Ich vermute, dass irgendwo ein Redirect stattfindet, wüsste aber nicht wo. Eventuell einer der automatisch erzeugten Anti-Lockout rules. Wenn ich die default-Regeln deaktivere, komme ich nicht mehr auf die Web-Oberfläche und SSH geht auch nicht mehr...

Danke für einen Tipp von euch!!

13
Intrusion Detection and Prevention / PT Open ruleset
« on: September 15, 2021, 07:56:23 pm »
Hello,
after installing the plugin of os-intrusion-detection-content-pt-open it appears that there is no change in the available rulesets for download? I only get a set of tickable rules for os-intrusion-detection-content-snort-vrt and for os-intrusion-detection-content-et-open.

  • How can I get the rules of os-intrusion-detection-content-pt-open
  • Are the rules in os-intrusion-detection-content-pt-open corresponding to the commonly known ET Open ruleset? Since I continuously upgraded Opnsense from previous versions, it appears that I only have a few ET open Rulesets left from previous versions of Opnsense (ET open/botcc, ET open/botcc.portgrouped, ET open/ciarmy, ET open/compromised, ET open/drop, ET open/dshield, ET open/emerging-inappropriate and ET open/tor

Thank you!

14
General Discussion / remote "Switch-button" for firewall rules
« on: August 30, 2021, 04:44:49 pm »
Hi,
does anyone know about a possibility whether it is possible to implement a remote "switch-button" (on/off state) to enable or disable a certain firewall rule. The background is that I have a rule that blocks internet for some devices of my kids. I would like to have an easy possibilty to enable or disable the rule without the need for my wife to use the opnsense interface...

Thank you for your ideas!

15
General Discussion / ULA
« on: August 23, 2021, 09:23:45 pm »
Hello,
Could anyone please provide me a short description of how to get an ULA on the LAN interface?

Virtual IP - > other doesn't do anything...

Thank you very much!

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2