Messages

Hi,

after downgrade to 3.2.2 and up and down....
i spend a lot of time to read log files and traces.
Traces as well from my WAN, which is connected to my FritzBox.
There I found some strange pings and DNS requests... propably v6 once.

My idea was to set
Services
>Unbound DNS
>>General
[X] Register IPv6 link-local addresses in the DNS Resolver DHCP IPv6 Link-local
et Voilá, for me it works.

But meanwhile there are several lib updates via GUI update
and "Surprisecata" works as well w/o v6 local-link DNS regs in v3.2.3 ;-)

Same for you?

cheers
Rainer

Hi Guys,

iam this user from the german thread.
Does google translator struggels on bavarien? ;-)

OK, as Franco said, downgrad suricata to 3.2.2.
Probably a solution for a moment, cause my FW-log tells me the same as before, but DNS works _with_ IDS!

Small question:
I do not redirect on WAN.
Which interface redirects (in NAT) your traffic to proxy?
I am using the plugin below.
Do you use plugin "os-intrusion-detection-content-pt-open"?

greets
Rainer

thx& [X]done

läuft bisher ohne murren, die FW-Logs bleiben ?-)
Anyway, subject accomplished.

THX
Rainer

Aufgetauchte Herausforderung mit suricata 3.2.3/ DNS klären wir zusammen hier->

https://forum.opnsense.org/index.php?topic=5605.0

[->404]

Oha, das klingt doch ganz nach dem hier, aber für 17.7 gemeldet: https://forum.opnsense.org/index.php?topic=5605.0

Habs angelesen und yepp, same here.

Vielleicht das Suricata 3.2.3 Update? Wir sollten die 3.2.2 probieren...

ziemlich genau mit dem update zu 3.2.3 fings hier an.

# pkg install -f https://ftp.yzu.edu.tw/opnsense/FreeBSD:11:amd64/17.1/MINT/17.1.9/OpenSSL/All/suricata-3.2.2.txz

Da gibts kein 17.1.9/3.2.2 mehr. <grummel>
Bei den Franzosen "erscheint" unter "experimental" eine 3.2.2, aber nur als html.
Auf den anderen mirrors existiert der Baum gar nicht.
btw. Ecuador:
(Universidad Estatal de Bolívar) http://mirror.ueb.edu.ec/opnsense ->404
(Universidad Técnica de Ambato)&(Escuela Politécnica Nacional) http://mirror.uta.edu.ec/opnsense/ ->505

=> need working link ;-)

greets
Rainer

Servus Franco,

yepp, is die 17.1.11.

Das sind fast nur DNS/53 er.
-Du schriebst rausschieben-
Also werden DNS requests nicht rausgeschoben.
Der NTP macht keine Mucken und sagt auch nix... scheidet glaube ich aus.

Hmm, wenn ich _nur_ IDS abklemme läufts, wesshalb ich auf suricata kam.
Dort steht aber nix im log ;-/

Aber ich seh schon... Meister Reineke first ;-)
Q:
#1 consolen update?
#2 wenn gemacht, wo soll ich deiner Meinung weitersuchen?


pfiat di
Rainer

THX Franco

Jetzt bekommt die "description" der Rules auch einen richtigen Sinn ;-)

Aufgefallen ist mir Eine, die munter vor sich hin logged und blocked, ich aber immer noch nicht zuordenen kann.
(x.x.x.x ist hier die IP vom Gateway an dem igb0 x.x.x.x+1 (WAN) hängt)

@71 pass out log route-to (igb0 x.x.x.x) inet from (igb0:1) to ! (igb0:network:1) flags S/SA keep state allow-opts label "let out anything from firewall host itself"

Wo könnt' ich diese Regel denn in der GUI finden, bzw. wo kann ich Die bearbeiten?
[hint: surpriseCATA spielt nach einem update mal wieder Streiche]


greets
Rainer

Servus,

bin gerade beim Feudeln- Quasi am Packet-Flusensieb reinigen.
Unter anderem möchte ich, für mich sinnlose, Alerts deaktivieren.
(...was bei Suricata übrigens sehr unspassig ist)

Beim Firewall-Log verstehe ich allerdings etwas nicht so ganz,
wie zum Beispiel:

GUI
>Firewall
>>Log Files
>>>Normal View

Tabellenspalte "Rule":
Eintrag zum Beispiel "(@73)"

Mit der Regel "73" kann ich irgendwie wenig anfangen.
Wie kann ich nachvollziehen, welche Regel dies ist?

thx&
greets
Rainer

Servus Maniac,

ich bin mir nimmer sicher, aber ich glaube bei TO geblieben zu sein,
da M-net nur gegen Aufpreis DualStack anbietet.. zumindest hier an der Freiheit.

Kannst Du mal in dein Vertrag schauen?

Grüsse
Rainer

THX Euch beiden,

@oxy, [FB-IP]/support.lua war der Link... der üppige RAM meiner 7214 würde dann platzen.
Wireshark ist mir ebenfalls in den Sinn gekommen, nur hätte das entweder das Ergebnis verPfälscht,
oder ich hätte mein Laptop in ne Fritzbox umwandeln müssen-> Zeit, keine Lust ;-)

Und jepp, Andreas, das wars, was ich gesucht habe, aber nicht mehr gefunden habe.

Es kann nur irgenwas von der Opensense sein, aber was? ;-)
Ich bin ja mal gespannt was hier so dringend raus muss.

Grüsse
Rainer

Danke soernt, Danke Fabian,

es war- da der Drucker z.Zt. in einem Netz hängt- der Port. &#5$!=!

Ein Management-, Hardwarenetz werde ich auch komplett aufbauen.
Allerdings ist das ohne Vlan irgendwie mit Arbeit verbunden ;-)

BTW;
WAN, LAN(1), LAN(2)... LAN(n), LAN-Net etc.
allow WAN->LAN1, allow WAN->LAN2 vice versa

Wie kann ich in den FW-Regeln die Lan's zusammen ansprechen,
sodass irgendwas in der Form;
allow WAN -> alle LAN's
oder in meinem Fall mit dem Switch dazwischen;
allow alle Lan's-> Management LAN
rauskommt?

Grüsse
Rainer

Hallo,

in meinem Aufbau kommt zuerst die Fritzbox und danach die Opensense.
Die FB kappt nach 10 Minuten Inaktivität den WAN connect (Ja, ich will es so)
Wenn intern nichts los ist, sollte auch kein WAN Connect aufgebaut werden.
Die FB hält sich hieran; das klappt auch mit dem ganzen Geraffel hinter der Opnsense.
Aber, seit geraumer Zeit- bzw. seit irgendeinem Update der Opensense-
muss irgendwas zu völlig unterschiedlichen Zeiten ab und zu raus funken.

Folgendes- sehr gekürzt- habe ich schon getestet:

FB+Opensense+Geraffel -> geht was raus
FB+Opensense+Geraffel minus NTP-> geht was raus
FB+Opensense -> geht was raus
FB+Opensense minus NTP-> geht was raus
FB plus NTP- > geht nix raus
FB pur -> geht nix raus

Nun möchte ich aber wissen was da angefragt wird
und mal über Nacht/ Arbeitstag den Traffic vom WAN Capturen.

Wie mach ich das?
Über eine kleine Tip-Übung würde ich mich sehr freuen ;-)


Grüsse
Rainer

Servus,

ich habe hier- vereinfacht- folgenden Aufbau:

Fritzbox
-> Opnsense (4Nics) 3 Netze
-> [1] Switch (Port based Vlan für die 3 Netze)
-> weitere Switche pro Netz -> Rechner

An Switch [1] hängt ein Drucker (nicht Vlan fähig).
Nun sollen alle Rechner aus den 3 Netzen, auf diesen einen Drucker zugreifen können.
Einen "Druckerport" am Switch[1] als Member der drei port-based Netze hilft wenig.
Reines taged-based VLAN hilft, siehe Druckereigenschaft, auch nicht.

Hat jemand eine Idee wie, bzw. wohin ich Ihn packe, damit alle zugreifen können?


Grüsse
Rainer

...Ein Versuch auf 17.1 hat noch niemand gestartet, aber da sind viele Treiberupdates dabei -- hat jemand neue Erkenntnisse?

Seit dem Anfang ist ath4 mit jedem Update besser geworden.
Immerhin schmiert die ganze Kiste beim Wechsel des Kanals nimmer ab
und bei "HK" als Domain auch nicht ;-)

Sonst, leicht instabil, mit sporadischen Deamon-autorestarts.
Bis jetzt. Ich warte auf das Anzünden der 17.1 Zündschnur ;-)

Gruss
Rainer

WoW!, thx

Dafür erlaube ich mir einen "VonHinten-DurchDie-Brust-Ins..." ;-)

Geruhsam->Spät->Logout

In allen GUIs von aktiven Komponenten die ich kenne, ist das ausloggen irgendwo direkt oben zu finden.
Bei Opnsense nicht. Ist das so gewollt?

Grüsse
R<DerSeinSchminkköfferchenWiederZuMacht>ainer

Servus,

jetzt lese ich die ganze Zeit mit und habe keine Zeit zu antworten...

Ich habe eine jetwayipc-box (JBC375F533-19B4),
habe lange nach einer mPCI karte gesucht
und mir Eine mit AR928X (0x002a168c) zugelegt.

Ja, sie wird erkannt. Ja, sie läuft, für eine mPCI WiFi Karte unter freeBSD, -ähm- stabil.

AbÄr, ath(4) ist unter freeBSD 10.x instabil... sagt franco.
Dies soll, könnte, müsste, sich evtl. mit v11 ändern.

Entweder nach dev(0) verschieben, mit der Zicke leben,
oder alternativ EEPROM neu flashen.

Gerne bin aber bereit irgendwelche Einstellungen zu testen ;-)


Grüsse
Rainer