Messages

106

German - Deutsch / Re: unbound Adblocker funktioniert nicht

« on: March 05, 2019, 08:17:26 am »

Moin,
es gibt schon ein fertiges Plugin für die OPNsense und DNS Blockling.
https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/

Gruß
Dirk

107

German - Deutsch / Re: Admin Magazin

« on: March 01, 2019, 08:57:48 am »

Ach, solange die Witzbox-Speedport-sonstwas Dinger laufen und nicht das Bankkonto abgeräumt wird ist 99.9% der Internetuser völlig egal, was die Verbindung zwischen Facebook und ihrem "Smart"phone macht. Ist so, war so und wird so bleiben. ;-)

Wobei man auch ehrlicherweise sagen muss, dass ein Gros der Internetnutzer auch nicht mehr macht als mal eben per WLAN mit Handy/Tablet oder PC ins Internet zu gehen.
Ob diese Nutzer jetzt die Zielgruppe für eine Firewall sind lasse ich mal dahingestellt. Und nur weil man eine Firewall wie OPNsense nutzt, bedeutet das ja nicht zwangsläufig höhere Sicherheit. Aus meiner Zeit als IT-Berater im DMS-Bereich hab ich oft Genug über die Konfiguration von Kundenfirewalls gestaunt.
Gerade bei kleineren Firmen war eine ANY-Regel fast schon 'Standard'.  Weil ohne hat dann irgendwas mit der Buchhaltung nicht funktioniert... Da fragt man sich dann teilweise echt, wofür die Kunden Ihre Sophos/Checkpoint/usw. Lizenzen überhaupt brauchen!

Na ja, kann man den Chefs halt gut verkaufen. "Wir haben unser Netz mit der Lösung vom Marktführer gesichert." 

Gruß
Dirk

108

Hardware and Performance / Re: PC Engines APU2 1Gbit traffic not achievable

« on: February 25, 2019, 09:52:57 am »

Hi,
I've just found this blog entry: https://teklager.se/en/knowledge-base/apu2-1-gigabit-throughput-pfsense/
So the APU2 series should be able to achieve 1 gbit with pfsense. 

best regards
Dirk

109

General Discussion / Re: WiFi: multiple SSIDs with different networks?

« on: February 21, 2019, 08:47:54 am »

Apart from the current or future support for WiFi hardware, are multiple SSIDs supported in OPNsense today?

Yes, multiple ssid works with OPNsense. I've used it with OPNsense 18.1.x

Yes, principal it is possible to do multiple ssid with an internal wlan card, too. I do so with an AzureWave AE772 Card (Atheros 9280 Chipset). But the wifi card can work only with 2.4 or 5 Ghz!

110

German - Deutsch / Re: Installation auf Supermicro X7SLA-H

« on: February 21, 2019, 08:36:39 am »

Ich hatte die CPU auch mal und hatte dort die 32bit Version laufen.

Der Atom 330 ist eine 64Bit CPU und sollte daher mit dem x64-Image installiert werden. Macht zwar in diessem Fall keinen großen Unterschied, aber 32Bit ist halt ein absolutes Auslaufmodell ohne Zukunft.

@d33jay
Ich würde es auch mal mit einem BIOS-Update und entsprechender BIOS-Konfiguration versuchen. Das Board ist ja schon gut abgehangen und sollte eigentlich laufen. Das mit USB 1.1 ist eine gute Idee, damit habe ich OPNsense seinerzeit auf einem Lexcom 3V900 zum laufen bekommen. Ja, die Installation dauerte dann ewig! 

Die 19.1 scheint mir (noch) etwas launisch zu sein.  Von daher könntest Du auch mal versuchen, ob Du z.B. die OPNsense 18.7 installiert bekommst.
Basiert noch auf FreeBSD 11.1 und das könnte schon den Unterschied ausmachen. Wenn es mit der 18.7 läuft könntest Du versuchen per GUI ein Update auf die 19.1.x zu machen.
Die älteren Versionen von OPNsense findest Du hier: https://pkg.opnsense.org/releases/
Das Image 'OPNsense-18.7-OpenSSL-vga-amd64.img' wäre dann das passende Image.

Gruß
Dirk

111

General Discussion / Re: WiFi: multiple SSIDs with different networks?

« on: February 19, 2019, 10:35:30 am »

Hi,
i suggest you to us a wlan ap for wifi with OPNsense!
Many wlan ap supports multiple ssid ans vlan. With an wlan ap supporting multiple ssid and vlan there is no problem to make different wlans for your firewall zones.
The unifi ap from ubiquiti working very well.

Yes, principal it is possible to do multiple ssid with an internal wlan card, too. I do so with an AzureWave AE772 Card (Atheros 9280 Chipset). But the wifi card can work only with 2.4 or 5 Ghz! Also the wifi range was very bad. So i've change to an wlan ap. So i can work with multiple ssid on 2.4 and 5 Ghz.

best regards
Dirk

112

German - Deutsch / Re: Probleme mit Squid auf der OPNSense

« on: February 19, 2019, 08:46:19 am »

So,
hier nun die zugehörigen FW-Regeln auf dem LAN/WLAN-Interface.
1. Bild 'Rules_WhatsApp.png'
Die Regeln stellen sicher, dass nur die Geräte, die in der Aliasliste 'WhatsApp_Devices' per in den jeweiligen Alias-Portlisten hinterlegten WhatsApp_Ports zugreifen können.

Wenn ein neues Geräte dazukommt, dass WhatsApp nutzen soll/darf, so muss dieses dann einfach die die Geräteliste eingetragen werden.

Gruß
Dirk

PS: Natürlich kann man die durch WhatsApp genutzten tcp/udp Ports auch einfach in eine Liste packen und dann nur eine FW-Regel erstellen (tcp/udp)!

113

German - Deutsch / Re: Probleme mit Squid auf der OPNSense

« on: February 19, 2019, 08:34:27 am »

Moin,
anbei die Screenshots am Beispiel für WhatsApp.
Ich nutze zu Hause einen WLAN AP, der direkt ans LAN angeschlossen ist. Dadurch ist LAN/WLAN ein Netz!
Alle Devices im LAN/WLAN bekommen die IP-Adressen per DHCP. Für alle Devices die WhatsApp nutzen sollen, habe ich eine feste IP-Lease vergeben.
1. Bild 'Alias_Hosts.png'
Alle Geräte im LAN/WLAN, die WhatsApp nutzen sollen bzw. dürfen sind als Hostliste hinterlegt.

2. Bild 'Alias_Ports_tcp'
Die mir bekannten TCP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

3. Bild 'Alias_Ports_tcp_udp'
Die mir bekannten TCP/UDP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

4. Bild 'Alias_Ports_udp'
Die mir bekannten UDP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

Damit sind die Aliase konfiguriert und es müssen nur noch die entsprechenden FW-Regeln erstellt werden.

114

German - Deutsch / Re: Probleme mit Squid auf der OPNSense

« on: February 18, 2019, 09:25:28 am »

Moin,
der Proxy der OPNsense kann SSL-Domains auch filtern ohne den Traffic aufzubrechen. Diese Option heißt irgendwas mit 'log SNI only'.
Dann wird nur auf Domainebene gefiltert, aber der eigentliche Traffic geht durch ohne SSL aufzubrechen. Logischerweise funktioniert dann keine Filterung auf Inhaltsebene mehr (z.B. per ClamAV).

Das mit den Aliasgruppen für bestimmte Devices sollte recht problemlos funktionieren.
Ich habe das so realisiert, dass die betroffenen Geräte per DHCP eine feste Lease von der OPNsense bekommen. Anschließend habe ich die Geräte dann in einer Aliasgruppe zusammengefasst. In den FW-Regeln sind dann die Regeln den Aliasgruppen zugewiesen.
Ich schau heute Abend mal, dass ich Screenshots davon mache!

Da die NAT-Regeln vor den eigentlichen FW-Regeln greifen ist es wichtig, dass Du auch eine NAT-Regel(n) mit der Ausnahme für die obige Aliasgruppe für die Ports 80 und 443 erstellst!!! Im Augenblick werden durch die Proxy NAT-Regel(n) der Traffic für die Ports 80/443 auf den transparenten Proxy der OPNsense umgeleitet. 

Gruß
Dirk

115

German - Deutsch / Re: Probleme mit Squid auf der OPNSense

« on: February 15, 2019, 09:23:21 am »

Moin,
ich gehe mal davon aus, dass Du auch den SSL-Traffic aufbrichst.
Im Proxy kannst Du Adressen per Ausnahmeliste vorgeben, bei denen der SSL-Traffic nicht aufgebrochen wird (no bump sites). Dann lässt der Proxy die Informationen für diese Seiten passieren, ohne dass SSL aufgebrochen wird.
Schon mal viel Spaß beim pflegen der der Ausnahmeliste!!! 

Proxy-Verteilung per GPO nutzt Dir nichts bei mobilen Devices (iPad/iPhone/Android). Wenn Du einen nichttransparenten Proxy nutzen willst, würde ich die Verteilung per wpad-datei machen! Dann braucht es keine GPO und mobile Devices kommen i.d.R. auch damit klar.

Und ja, natürlich kannst Du in der FW auch Regeln definieren, dass z.B. Geräte die sich in einer bestimmten Alias-Gruppe befinden auch direkt ins Internet kommen.
Das sollte aber immer die letzte Option sein. Gerade wenn die Geräte wohlmöglich im gleichen Netz hängen, wie Deine anderen Geräte!
Ich nutze das bei mir zu Hause um unseren Smartphones den vollen WhatsApp Funktionsumfang zu ermöglichen.

Gruß
Dirk

116

German - Deutsch / Re: Nach Update auf 19.1 hängt OpnSense...

« on: February 11, 2019, 10:05:03 am »

@Hunter
ich verweise mal auf folgenden Fred hier im Forum:
https://forum.opnsense.org/index.php?topic=11563.0

Evtl. hast Du das gleiche Problem.
Bei meiner Securepoint RC200G3 (AAEON FWS2251) scheint es auch so zu sein. Die OPNsense (GUI) läuft problemlos, aber es wird ab einem bestimmten Zeitpunkt nichts mehr auf dem Monitor ausgegeben.
Mangels seriellem Port kann ich aber nicht prüfen, ob die Ausgabe auf die Console umgeleitet wird! 

Gruß
Dirk 

117

German - Deutsch / Re: Opnsense - Hamburg

« on: January 30, 2019, 04:18:00 pm »

Ups,
gerade erst gesehen!
Versuche heute Abend auch dabei zu sein.

Gruß
Dirk

118

German - Deutsch / Re: Probleme mit OpenVPN / NAT

« on: January 30, 2019, 04:16:57 pm »

Moin,
zunächst mal würde ich den dyndns auch nach Möglichkeit auf dem Router einrichten.
Grundsätzlich funktioniert das aber auch auf der OPNsense nach einem Router. Musste ich selbst eine Zeitlang so machen, da mein alter O2-Router kein dyndns unterstützte.
Allerdings muss dann dyndns auch als cron job eingerichtet werden, da per default auf der OPNsense nur alle 24h Stunden auf eine IP-Änderung geprüft wird.

Grundsätzliche Frage. Hast Du einen echten ipv4 Anschluss oder einen der sog. DSL-Lite Anschlüsse!?
Weil per DSL-Lite ist dein Router von außen nicht per ipv4 erreichbar.

Gruß
Dirk

119

German - Deutsch / Re: Probleme mit opnsense

« on: January 29, 2019, 08:47:17 am »

Und wieder die selben Fehler... hat hier keiner eine Lösung?

Moin,
ist schwierig, da es sich bei dem Problem um Dein Problem handelt! 
Um es klar zu sagen, gibt es diverse User, die praktisch die identische Konstellation völlig problemlos im Einsatz haben. Wahrscheinlich dürfte teilweise sogar die gleiche HW genutzt werden. Da fällt es dann schon schwer an einen grundsätzlichen Fehler zu glauben!
Ich selbst nutze eine OPNsense hinter einer FritzBox (Exposed Host). Läuft seit Monaten absolut problemlos.

Wie ist denn Deine Einrichtung auf der FritzBox genau?
Nutzt Du auf der FritzBox DHCP oder statische IP? Welche statische IP?
Zeig mal Deine WAN Konfiguration der OPNsense!

Bei mir läuft die FritzBox mit statischen IP (192.168.178.1). WAN der OPNsense ist auf static IP (192.168.178.2/24) einegstellt. Als Gateway ist die FritzBox (192.168.178.1) eingetragen.
Das war es dann mit den Einstellungen auf der WAN-Schnittstelle.

DNS Einträge braucht es hier nicht!
Die kannst Du in den Systemeinstellungen der OPNsense hinterlegen.

Gruß
Dirk

120

Hardware and Performance / Re: RockPort useable?

« on: January 25, 2019, 09:26:49 am »

I'm struggling trying to find an affordable, low power, 2 (or more) port board to run as the border of my home network.

Hi,
many users are happy with the APU2 series mainboards from PC Engines.
https://www.pcengines.ch/apu2.htm
An APU2C4 set (MB, case, ssd, power supply) priced around ~ 200EUR (Germany).

best regards
Dirk