1
German - Deutsch / Re: qrencode: Wireguard-Zugänge direkt als QR-Code anzeigen lassen?
« on: March 18, 2023, 05:46:54 pm »
Ich auch ... gibt es hierzu etwas Neues?
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
General Discussion / check_mk Server (!) on OPNsense appliance
« on: October 12, 2022, 11:55:57 am »
Hi, I want to start monitoring my network better. Therefore, I found that check_mk may be suitable. Since I do limit my hardware a little and the OPNsense is running 24/7 anyway, I thought I would make the OPNsense the check_mk Server and all other real (Proxmox) and virtual (VM / LXC) hosts agents. Does this make sense? Does anyone do this? I only found a check_mk agent plugin for OPNsense, no server plugin. Or is check_mk not the right approach? I would like to see if my apt / yum packages are out of date and monitor suspicious activity in logs / network traffic. The OPNsense could be server and agent at the same time I think. Glad if you can help me get on the right track!
3
22.7 Legacy Series / Display an explanatory page when DNS block / firewall rules kick in
« on: July 29, 2022, 08:12:01 am »
Hi all,
is it possible to display an explanatory static page once either DNS block lists or firewall rules kick in and avoid the display of a webpage?
Thanks!
is it possible to display an explanatory static page once either DNS block lists or firewall rules kick in and avoid the display of a webpage?
Thanks!
4
Virtual private networks / Re: Harden OPNsense for WireGuard Access
« on: July 29, 2022, 07:52:18 am »
No, I did not try it, only using it in the LAN. Do a PCAP and check if the correct MAC address is in the package coming from the mobile device.
5
Virtual private networks / Re: Harden OPNsense for WireGuard Access
« on: July 29, 2022, 07:47:19 am »
You can set the MAC address as an alias and add it as the source in the firewall rule.
6
Virtual private networks / Re: Harden OPNsense for WireGuard Access
« on: July 29, 2022, 07:34:20 am »I added a captive portal to Wireguard and in that I added to "Allowed MAC addresses" the MAC addresses of the mobiles being allowed to connect.
Nice idea with the MAC address. You could still make a firewall rule for the MAC address though ...
7
Virtual private networks / Re: Harden OPNsense for WireGuard Access
« on: July 23, 2022, 09:20:46 pm »
Thanks!
8
Virtual private networks / Re: Harden OPNsense for WireGuard Access
« on: July 23, 2022, 07:09:24 pm »
Noone?
9
Virtual private networks / Harden OPNsense for WireGuard Access
« on: July 21, 2022, 12:31:10 pm »
Hi,
I successfully configured WireGuard on an OPNsense behind a Fritz!Box. I did a port forward to the WAN of the OPNsense and was able to connect from my cellphone. So far so good. Before I activate the port forward in the Fritz!Box continuously, I wonder if there is anything I can do on the WAN side of the OPNsense to harden it. For example against any spamming / port scanning / flooding. How do you harden your VPN ports properly?
Second question: if I only want to use the WireGuard for a RoadWarrior usage, would you allow all traffic via the tunnel and block the packages on the WireGuard side via the firewall rules? Or can I somehow decide even earlier on the cellphone?
Third question: I have two interfaces for WireGuard on the OPNsense: the WireGuard (Group) and my specific WireGuard interface. How to you manage the rules here? Is the "Group" interface similar to the "Floating Rules" but only for the WireGuard interfaces?
I successfully configured WireGuard on an OPNsense behind a Fritz!Box. I did a port forward to the WAN of the OPNsense and was able to connect from my cellphone. So far so good. Before I activate the port forward in the Fritz!Box continuously, I wonder if there is anything I can do on the WAN side of the OPNsense to harden it. For example against any spamming / port scanning / flooding. How do you harden your VPN ports properly?
Second question: if I only want to use the WireGuard for a RoadWarrior usage, would you allow all traffic via the tunnel and block the packages on the WireGuard side via the firewall rules? Or can I somehow decide even earlier on the cellphone?
Third question: I have two interfaces for WireGuard on the OPNsense: the WireGuard (Group) and my specific WireGuard interface. How to you manage the rules here? Is the "Group" interface similar to the "Floating Rules" but only for the WireGuard interfaces?
10
German - Deutsch / Re: Kein Internet auf dem LAN Interface
« on: March 06, 2022, 09:55:30 pm »
Bei beiden Appliances habe ich "Block bogen networks" aktiviert, das ist auch nicht das Problem.
Es liegt in der Tat am NAT.
Die Appliances verhalten sich nicht identisch. Bei einer Appliance kann ich "Outbound NAT" auf "Automatic" stellen und bekomme zwei NAT regeln autogeneriert. Bei der anderen (bei der ich das o.g. Problem hatte) gibt es trotz "Automatic" keine autogenerierten Regeln. Stelle ich auf "Hybrid" und füge die Regeln wie ihr mir es gesagt habt selbst hinzu funktioniert alles wie es soll. Nun die Frage: kann ich die "Neu-Generierung" der automatischen Regeln erzwingen? Ich möchte die Appliances eigentlich gerne komplett identisch konfigurieren ...
Es liegt in der Tat am NAT.
Die Appliances verhalten sich nicht identisch. Bei einer Appliance kann ich "Outbound NAT" auf "Automatic" stellen und bekomme zwei NAT regeln autogeneriert. Bei der anderen (bei der ich das o.g. Problem hatte) gibt es trotz "Automatic" keine autogenerierten Regeln. Stelle ich auf "Hybrid" und füge die Regeln wie ihr mir es gesagt habt selbst hinzu funktioniert alles wie es soll. Nun die Frage: kann ich die "Neu-Generierung" der automatischen Regeln erzwingen? Ich möchte die Appliances eigentlich gerne komplett identisch konfigurieren ...
11
General Discussion / Re: Just tried out Geoblocking using MaxMind....
« on: March 01, 2022, 09:40:58 pm »
Is that your public IP?
12
German - Deutsch / Re: Kein Internet auf dem LAN Interface
« on: March 01, 2022, 12:38:05 pm »
Danke dir, letzteres klingt genau nach dem, was ich auch beobachtet habe. Denn auf meiner parallel eingerichteten Appliance funktioniert es auch ohne die NAT Regeln ...
Kann hier jemand etwas dazu sagen, warum es manchmal funktioniert und manchmal nicht? Hat sich in den letzten Updates irgendein Verhalten verändert?
Kann hier jemand etwas dazu sagen, warum es manchmal funktioniert und manchmal nicht? Hat sich in den letzten Updates irgendein Verhalten verändert?
13
German - Deutsch / Re: Kein Internet auf dem LAN Interface
« on: March 01, 2022, 11:43:36 am »
Ja, das funktioniert, danke. Kannst du mir erklären warum und was dahinter steckt? Ich habe mich bisher auch bei identischen Setups nie mit NAT beschäftigt. Hat es da eine Änderung hinsichtlich dessen in den letzten Updates gegeben, dass man das nun manuell einstellen muss?
14
German - Deutsch / Re: Kein Internet auf dem LAN Interface
« on: March 01, 2022, 10:59:02 am »
Gerne, bin echt verzweifelt, das ist nicht die erste OPNsense, die ich konfiguriere ... 
Habe derweil einfach mal auf dem LAN Interface alle Schotten aufgemacht für UDP, TCP und ICMP.
ping von LAN net => OPNsense address: Funktioniert
ping von LAN net => !RFC1917 auf mehrere IPs versucht: Funktioniert nicht
nslookup XYZ.de von LAN net => OPNsense address: Funktioniert
Die Anfragen kommen im Firewall Log an und werden durchgelassen (grün). Zunächst meine Regel vom LAN Interface (ALLOW HTTPS) und direkt danach die "let out anything from the firewall host itself" Regel.
Komisch wie gesagt, dass die OPNsense selbst Verbindung hat, kann also nach Updates suchen etc. Wie beschrieben funktioniert ein Ping über die OPNsense GUI mit dem WAN Interface zu bspw. 8.8.8.8, wenn ich im Dropdown dann das LAN Interface auswähle funktioniert es wiederum nicht. Auf allen anderen Interfaces (außer WAN) ist das Verhalten genauso. Liegt also definitiv an der OPNsense und entsprechend sehr sicher auch nicht an den Firewall-Regeln.
Kann ich in irgendeinem Config-File in der Konsole die Gateways auslesen? Kann im FreeBSD noch irgendwas sein, was in der OPNsense GUI nicht angezeigt wird?
Übrigens: Neustart hat auch nicht geholfen ...
Habe derweil einfach mal auf dem LAN Interface alle Schotten aufgemacht für UDP, TCP und ICMP.
ping von LAN net => OPNsense address: Funktioniert
ping von LAN net => !RFC1917 auf mehrere IPs versucht: Funktioniert nicht
nslookup XYZ.de von LAN net => OPNsense address: Funktioniert
Die Anfragen kommen im Firewall Log an und werden durchgelassen (grün). Zunächst meine Regel vom LAN Interface (ALLOW HTTPS) und direkt danach die "let out anything from the firewall host itself" Regel.
Komisch wie gesagt, dass die OPNsense selbst Verbindung hat, kann also nach Updates suchen etc. Wie beschrieben funktioniert ein Ping über die OPNsense GUI mit dem WAN Interface zu bspw. 8.8.8.8, wenn ich im Dropdown dann das LAN Interface auswähle funktioniert es wiederum nicht. Auf allen anderen Interfaces (außer WAN) ist das Verhalten genauso. Liegt also definitiv an der OPNsense und entsprechend sehr sicher auch nicht an den Firewall-Regeln.
Kann ich in irgendeinem Config-File in der Konsole die Gateways auslesen? Kann im FreeBSD noch irgendwas sein, was in der OPNsense GUI nicht angezeigt wird?
Übrigens: Neustart hat auch nicht geholfen ...
15
German - Deutsch / Re: [gelöst] OPNsense 21, kein Routing in das Internet, LAN(VLAN21) nach WAN
« on: March 01, 2022, 10:21:39 am »
Hi, ich habe hier ein ähnliches Problem: https://forum.opnsense.org/index.php?topic=27244.0
Kann das Ganze hier ein ähnliches Problem sein?
Kann das Ganze hier ein ähnliches Problem sein?