Messages

delete

delete

Hallo, ich komme jetzt zu diesem Thema zurück. Vielen Dank für die ausführliche Beschreibung. Ich bin aktuell dabei die Firewall Rules zu erstellen.
Und eigentlich habe ich einen Sideeffect den ich nur so halb erwartet habe: mit einer Interface-Gruppe von allen lokalen Interfaces und entsprechenden Rules die lokale VLANs auf jeden Interface erstmal blocken, aber dafür in Floating Rules die Allow sitzen...

Jetzt werden scheinbar Ports im selben VLAN geblockt, was echt seltsam ist. Offensichtlich blockt OPNsense im gleichen Subnet, wenn solche Rules erstellt werden?!

Ich müsste demnach ein Rule für jeden VLAN haben, wo man einzelne Intf auswählt und nicht eine Gruppe hat, sodass man immer den jeweiligen Intf nicht auswählt.

Boah... you know how it is when you manage to get a wife-approval for €799, and then go to order and you realize you didn't see that VAT is not included...

Topic? kosta's going for the DEC750, no question. We're just hanging out, now. Heh.

No worries, always enjoying tech discussions, even if only reading along.

Nee. KISS ;-)

Aber danke! Ein Problem weniger. ;-)

Aber ja, das Thema kann man abschließen. Tatsächlich kein OPNsense Thema, sondern reines Networking. Es scheint ja wohl ein Unterschied zu sein, wie die Switches funktionieren. Unsere OS10 von Dell scheinen anders zu ticken als mein billiger HP Aruba im Vergleich.

Dann versuche ich mal zu verstehen, etwas was wir in der Arbeit machen, besser...
Wir praktizieren dass die primären Switches auf den VLANs immer eine IP haben, damit man im Falle des Troubleshootings eben den Switch pingen kann, und schauen wo es blockt. Für jede VLAN existiert eine Adresse.
Und du hast recht, war mir im Hintergrund nicht bewusst, dass mein HP tatsächlich automatisch die kürzesten Routen erstellt hat, als ich den VLANs die IPs vergeben habe. Sieht man eh in der Tabelle, hätte reinschauen sollen.

Es müsste doch irgendwie funktionieren, damit ich den Switch sagen kann, egal was die VLANs für IPs haben, soll er bitte 0.0.0.0/0 immer über der Firewall IP schicken. Aber das hat das Ding schon, inkl. andere Routen - die ich nicht löschen kann. Ich versuche mal die statischen Routen für jede VLAN zu setzen. So leicht geb ich nicht auf :)

Hier eine schnelle Skizze. Deine Aussage hat mich zum Nachdenken gebracht. Ich hab anschließend ein traceroute auf beiden Geräten gemacht, und was mir aufgefallen ist, dass mein Rechner (in diesem Fall mein MBP, im LAN, über die FW geht. Was korrekt ist.
Aber wenn ich das gleiche auf dem Switch mache, wir mir die Firewall nicht angezeigt, nur ein Hop.

Die VLANs auf dem Switch haben mittlerweile jeder eine IP. 10 natürlich von Haus aus, da dieser zum Management gehört. Aber das dürfte nicht stören.

Eigentlich würde ich erwarten dass der Switch beim traceroute zwei Hops hat.

Hallo,
wie ich schon woanders angedeutet habe, gab es bei mir eine Netzumstellung von 192.168. auf 10..
Dabei habe ich auch alle Firewall Rules bereinigt und bin aktuell auf Any-Any-Any alles offen überallhin.
Noch waren die Rules auf einzelnen Intf, aber jetzt gibt es nur zwei Floating, all intf (außer WAN versteht sich), IN für alles Pass. Einmal für TCP/UDP, einmal für ICMP.

Nun, ganze Zeit schon quält mich etwas: das Arbeit auf meinem Switch ist seltsam. Funktioniert funktioniert nach der Neuanmeldung, und dann plötzlich fangt an zu stocken, und ich muss mich erneut anmelden.

Und jetzt gefunden warum:
Die Firewall erstmal zeigt keine Blocks, und dann nach ca. 1 Minute, fangen die Blocks an, bloß einfach so.

1) es ist mir absolut unklar warum die Blocks anfangen, wenn sowieso alles offen
2) warum sie nicht gleich blocken wenn ein Problem, warum erst nach xx Sekunden

Habt ihr Idee wo ich anfangen wäre zu troubleshooten?
Versucht beide mal neu zu starten habe ich mal...

Dazu zu sagen, es gibt auch andere ausgehenden Blocks Richtung Internet, auch wenn ich nichts mache.

I do have NUT working, however need to configure it with OPNsense. There is a new UPS with 13min uptime. Tested well with PVE. I just want to make everything go away from consumer stuff to more professional. And console would be a step in the right direction. Kind of reminds me of Cisco serial cables. :D

Do you know whether there are any issues with Macs, when it comes to the serial connection? Like MBP with an USB->USBc converter? (have seen the info on the page about macOS, just asking for experience)

Danke dir, sehr gut, damit kann ich was anfangen, bzw. gibt mir einige Ideen.
Aber das:

ch könnte höchstens verhindern, dass bestimmte Command&Control-Server kontaktiert werden.

Das ist genau einer meiner Punkte. Einerseits habe ich Kontrolle was rausgeht, anderseits kann durchaus passieren dass wieder was geblockt wird und ich muss tätig werden. Im PROD würde ich das aber fix nicht machen.

Ouch. Were those with OPNsense? OPNsense doesn't do much with the file system - normally I'd expect some corrupted logs at most. As far as PLP, I generally use SSDs with big caps, but of course all they'll do is write the buffer on the SSD, not the system ARC. I've had some poorly-behaved UPSs, that say "batteries are great" even after they die during a self test, and never had a file system go bad on me. Not even an NTFS machine with three levels of cache (system, controller, and SSD) and no PLP (consumer SSDs). Just luck?

It was due to power outages, with and older Samsung SSD, I think 830 or 840. It simply didn't boot any more, and when I looked at the console - for which I would have to disconnect it, bringt it to my workplace, connect monitor, keyboard and all that, which includes searching for cables... I had some weird CRC or so errors. Now, I could have messed with fsck and boot from USB, which I would have to create etc etc, I rather just reinstalled it.
However, I must also say that since I went ZFS, I had one power outage and no issues. It's no measurement in any case, but I do have regular updates, so it's not really a lot of hassle to restore the config.
In any case, I was even thinking of paying for a mainboard with IPMI, same like my Supermicro server, which would enable me to remain flexible, without having to move the box. But, at the same time, it costs €400, so yeah, also not for free.

That is why I asked what is the way to troubleshoot the Deciso box... I have seen the USB port, but what does it do exactly?

Will chime in for a bit,

I use Chinese knockoffs mostly, but I like to punish myself. As well the DYI aspect its kinda a learning curve. Anyway I would choose the official DEC, if I would not feel confident that I can make the knockoff box run.

Yeah, I punished myself enough for years now with my self built box - which is working alright - but God forbid it's not. I really want to go as far as possible away from boxes that break when power runs out. I do have UPS, but also that doesn't hold forever. Had two corruptions in last two years, it's just pain to fix. I would hope some dedicated HW box can do that better. Does it maybe come with PLP? Thought of making self built with PLP alright, but simply thinking if to get a pre-built box might be a better idea. The cost of self built with PLP would be lower also. But, consumes surely more power, on the other side.

Can you tell me what is the typical procedure if something happens to the OS? Like say you can't access it any more... reset? I see console per USB... how does that work?

"1. Was heißt "OPNsense blockiert ausgehend, so Bedarf das eigentlich ein Umdenken."? Das ist eigentlich nicht so vorgesehen. Normalerweise blockt oder erlaubt man bei OpnSense nur mit "in" Rules. Oder wie meinst Du das?"

Eh so wie du geschrieben hast, meine Aussage war nur etwas schlampig. IN wie "interface ingress". Barracuda und andere Firewalls die ich kenne, haben das nicht so. Dort ist einfach nur Verkehr a->b, zeigt dir den Interface, aber basiert den Block nicht auf intf ingress.

"2. Wenn Du nur 3 VLANs hast, dann helfen Dir die "Bereiche" oder "sortingnetze" doch nichts, weil innerhalb eines VLANs jeder mit jedem frei kommunizieren kann? D.h. "sonst wenn sich Rule in einem Netz befindet" ist doch irrelevant?"

Ich habe insg. 6 VLANs - MGMT, LAN, PROD, DMZ_INT, DMZ_EXT, GUEST. Nicht ganz irrelevant, glaub ich. Hier sollten nur gewisse Server drin sein, die entweder von dem internen LAN/PROD separiert werden, bzw. von außen erreichbar sind. Und auf diese Server kommen sowohl Geräte aus LAN und PROD hin, bestimmte Services nur versteht sich. Wenn Floating, dann wohl ganze Netze, wenn einzelne Devices, dann entsprechende Interfaces. Sehe ich da was falsch?

"Ich mache das eigentlich so, dass ich zunächst jedes VLAN mal gegen RFC1918 abschotte"

Ich versuche mal zu summieren:
- in jeden VLAN hast ein Deny RFC1918, aber allow any-port non-RFC1918 (oder hab ich das verstanden, weil...)
- du machst einen pass rule vor dem obigen für spezielle services (also filterst du doch ins internet nach port?)
- MGMT hat ein MGMT-any-any rule
- Floating Rules für alles andere intern, so ziemlich das gleiche Prinzip was ich oben abgebildet habe

Ist das in etwa korrekt?

Um genau zu fragen:
"Abgesehen davon dürfen die aber auch jedes Ziel, also ins Internet."
Heißt du filterst nicht per Port ausgehend ins Internet? Ich würde persönlich da eher setzen auf HTTP/S OK für alle, aber dann doch eines oder ein paar Rules die ins Internet nur bestimmte Ports freigeben. Da ich bisher aber oft da reingefallen bin, dass irgendein Spiel nicht geht oder so, wäre vlt sinnvoll im PROD genau zu filtern, da dort doch alles kontrolliert abgeht, und im LAN sowieso alles Richtung Internet erlauben.

Außerdem wird bestimmt noch IoT VLAN kommen, ich weiß nicht wo mein Kopf war, wo ich IoT Devices ins gleiche VLAN wie meinen internen NGINX und DNS platziert hab... omg. :D