Messages

391

German - Deutsch / Re: Route hinter WAN-Schnittstelle

« on: March 03, 2017, 03:22:40 pm »

Hallo Carlo,
schau mal hier: https://www.monsterli.ch/blog/netzwerk/pfsense/pfsense-zugriff-auf-das-adsl-modem-uber-pfsense/
Ist zwar für die pfsense, sollte aber eigentlich auch für die OPNsense funktionieren.

Gruß
Dirk

392

German - Deutsch / [Gelöst] White- und Blacklisten für Webproxy. Wer gewinnt!?

« on: March 03, 2017, 07:34:56 am »

Moin,
wenn man im OPNsense Webproxy sowohl in Whitelist als auch in der Blacklist differente Regeln hinterlegt, welche Regel gewinnt!?
Beispiel: Ich hinterlege in der Blacklist einen Eintrag um den Download von exe-Dateien generell zu verbieten.
Nun hinterlege ich in der Whitelist eine Domain, von der ich Downloads von exe-Dateien erlauben möchte.

Übersteuert die Whitelist für die Domain das generelle Verbot des Download von exe-Dateien?

Gruß
Dirk

PS: Klar, konnte ich das auch ausprobieren, aber evtl. weiß das auch Jemand so. 

393

German - Deutsch / Re: Wo liegt der Fehler :-/

« on: March 02, 2017, 11:18:11 am »

Hmm,
das einfachste wäre wohl, wenn Du einfach eine Firewallregel vom WAN der OPNSense auf 'This Firewall' für den Port 443 freischaltest.
Dann kannst Du Deine OPNsense direkt über die WAN-IP administrieren.
Aber Vorsicht: So etwas ist natürlich ein pot. Sicherheitsrisiko!

Gruß
Dirk

394

German - Deutsch / Re: Wo liegt der Fehler :-/

« on: March 02, 2017, 08:22:42 am »

Hallo Michael,
ja Deine Skizze verwirrt mich auch total! Lt. Deiner Skizze hättest Du eine Bridge zwischen LAN/WAN-Interface eingerichtet!? 
Du hast ja sowiet ich weiß ein ALIX-Board. Das hat 3 LAN-Interfaces.
Ich mach jetzt mal eine Skizze, wie typischerweise die Konfiguration der OPNsense in einem Netz mit einem vorgschalteten Router ist.

                       --Router-- 192.168.1.1
                              |
                              |
                              |
                              | WAN 192.168.1.2
          ------ OPNsense -------
         |                                    |
         |                                    |
      LAN                                DMZ
                   
 
Am LAN der OPNsense hängen üblicherweise deine Geräte (z.B. PC, Laptop, usw.). Wichtig ist, dass das LAN der OPNsense einen IP-Bereich hat, der sich vom IP-Bereich Deines Routers unterscheidet (z.B. 192.168.10.x).  Wen das LAN Interface z.B. 192.168.10.1 hat, erreichst Du die OPNsense Konfiguration über diese IP-Adresse!

Das gleiche gilt für das DMZ. Auch hier wird ein eigener IP-Bereich benötigt, der anders sein sollte als der Bereich WAN/LAN der OPNSense (z.B. 192.168.20.x).
Deinen Server hängst Du nun in das DMZ-Netzwerk und vergibst entsprechende IP-Adressen.

Wenn das Netz soweit steht, musst Du anfangen Dein Regelset zu definieren. Dabei musst Du bedenken, dass standardmäßig erstmal jeder Traffic zwischen den Netzwerken LAN/DMZ verboten ist. Auch Traffic vom WAN in das LAN/DMZ ist erstmal verboten.
Bei Deinem Konstrukt mit vorgeschaltetem Router kommt jetzt noch dazu, dass Du die gewünschten Dienste zunächst mal auf Deinem Router an das WAN-Interface der OPNsense bekommen musst.

Willst Du z.B. den Port 80 (HTTP) für Traffic aus dem Internet in die DMZ freischalten, damit auf einen Webserver in der DMZ zugegriffen werden kann, musst Du
1. Port 80 im Router auf die IP 192.168.1.2 weiterleiten
2. In der OPNsense eine NAT Regel für die Portweiterleitung des PORT 80 vom WAN-Interface in die DMZ auf die IP deines Servers.

Eine Bridge wird für all sowas gar nicht benötigt! Schon gar nicht, damit ntp oder so etwas läuft.
Die OPNsense kann prima als ntp-server dienen.
Ich kann nur empfehlen soviel wie möglich zu lesen! Und wenn man etwas nicht versteht gezielt nachzufragen um die Unklarheiten zu beseitigen.
Hier wurde schonmal eine Menge Basiswissen durchgekaut 
https://forum.opnsense.org/index.php?topic=4230.0

Gruß
Dirk

395

16.7 Legacy Series / Re: Bypass trans. HTTP-Proxy for an URL-List?

« on: March 02, 2017, 07:43:15 am »

Sorry,
i haven't seen the rdr option into teh nat rules. 

regards
Dirk

396

German - Deutsch / Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?

« on: March 02, 2017, 07:38:24 am »

Einfach gleich mit no rdr gesetzt sollte gehen (natürlich mit den richtigen Servern als Ziel).

Ok, den Haken in den NAT-Rules hatte ich übersehen!
Ich werde das mal austesten.
Vielen Dank

Gruß
Dirk

397

16.7 Legacy Series / [SOLVED] Bypass trans. HTTP-Proxy for an URL-List?

« on: March 01, 2017, 03:28:52 pm »

Hi,
i've a problem with the http proxy. The proxy works in transparent mode.
Since some days i use a Laptop with Win 10 Pro (1607). Every time i get updates for the windows defender i get an error message when i try to download the updates.
All other windows updates installs without any problems.
After some searching i found the follwing TechNet-Post: https://technet.microsoft.com/en-au/itpro/windows/keep-secure/configure-proxy-internet-windows-defender-advanced-threat-protection

Now i try to bypass the OPNsense-Proxy to reach the defender url's directly. How can i configure the proxy nat-rule to bypass the proxy for an url-list?

regards
Dirk

398

German - Deutsch / Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupda

« on: March 01, 2017, 08:34:52 am »

Hallo Fabian,
ob es generell an Squid liegt kann ich nicht beurteilen. Unsere (kommerzielle) Unternehmensfirewall hat jedenfalls keine solchen Probleme, obwohl dort auch ein Squid als Proxy läuft.
Wie müsste denn eine solche NAT-Regel aussehen?

Gruß
Dirk

399

German - Deutsch / Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?

« on: March 01, 2017, 08:07:33 am »

Moin,
seit einigen Tagen habe ich ein Windows 10 Pro (Stand 1607) in meinem Heimnetz.
Reproduzierbar habe ich seither ein Problem mit den Signaturupdates für den Windows bordeigenen Windows Defender (Virenschutz) per OPNsense 16.7.14.
Offenbar sind auch nur die Defender-Updates betroffen. Sonstige Windows Updates haben bisher immer funktioniert (auch mit Windows 10).
Es läuft der WebProxy (Transparent) mit einigen Kategoriesperren ohne SSL-Interception. Beim Suchen von  Updates findet Windows 10 ein Signaturupdate für Windows 10, der Download schlägt jedoch jedes mal fehl.
Aufgrund der Fehlermeldung bin ich auf folgende Seite im MS TechNet gestossen: https://technet.microsoft.com/de-de/itpro/windows/keep-secure/configure-proxy-internet-windows-defender-advanced-threat-protection

Im Technet-Beitrag werden einige URL's genannt, die für das Update genutzt werden.
- *.blob.core.windows.net
- crl.microsoft.com
- eu.vortex-win.data.microsoft.com
- winatp-gw-neu.microsoft.com
- winatp-gw-weu.microsoft.com

Die URL's habe ich in der Proxykonfiguration auch schon in die Whitelist eingetragen. -> keine Änderung
Wie kann ich diese URL's in der OPNsense so freischalten, dass Windows 10 per http (Port 80) am transparenten Proxy vorbei direkt zugreifen kann!?
Ein direkter Versuch per Firewall-Regel hat nicht funktioniert. Nach etwas nachdenken, was auch klar warum. Mit der NAT-Regel wird ja der gesamte Traffic für Port 80 auf den Webproxy umgeleitet.
Wie muss eine NAT-Regel aussehen, damit die obigen URL nicht über den Proxy laufen?

Und ja, es liegt definitiv am Webproxy. Wenn ich das Laptop in mein Gäste-Netz hänge funktionieren die Signaturupdates für den Defender problemos (ohne Webproxy).

Gruß
Dirk

400

German - Deutsch / Re: Webinterface ausgesperrt durch Bridge

« on: February 27, 2017, 07:34:08 am »

Moin,
schau Dir mal das tutorial an:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html#toc-4
Etwas weiter unten findest Du die Konfiguration einer Bridge beschrieben, ohne sich dabei des Ast abzusägen (Weboberfläche)! 

Das gesamte Tutorial ist m.E. sehr lesenswert und enthält viele nützliche Tips & Tricks.

Gruß
Dirk

401

German - Deutsch / Re: FTP Probleme vom LAN (Client) ins WAN (Server)

« on: February 26, 2017, 12:45:02 pm »

Moin,
ergänzend zur Antwort von Fabian.
FTP benutz den Port 21 als Controlport. Der eigentliche Datentransfer findet nach Aushandlung zwischen FTP-Client/FTP-Server auf einem anderen Port statt.
Daher ist FTP-Transfer durch eine Firewall nicht so einfach zu konfigurieren.
Hier zum genauen nachlesen: https://de.wikipedia.org/wiki/File_Transfer_Protocol

Gruß
Dirk

402

German - Deutsch / Re: Opnsense Verbindung ins Internet Funktioniert Nicht

« on: February 25, 2017, 07:16:14 am »

Hmm,
klingt für mich wie ein klassischer Gedankenfehler.
1. Das WAN Interface der OPNsense muss am Router hängen (IP 192.168.1.2)!
2. Das LAN Interface der OPNsense muss einen anderen IP Bereich haben als 192.168.1.x (z.B. 192.168.100.x.) Die OPNsense (LAN) bekommt dann z.B. die 192.168.100.1

Dann sollte das auch mit dem Routing klappen!
Noch ein Hinweis. Bei der Konfiguration des WAN Interfaces darauf achten, dass der Punkt "Block Private Networks" nicht gesetzt ist! Sonst bekommst Du nie etwas von Deinem Router auf die OPNsense geroutet (z.B. Portweiterleitung)!

Gruß
Dirk

403

German - Deutsch / Re: Opnsense Alix Board 2D3 images ?

« on: February 22, 2017, 09:29:04 am »

@x.zepto
Klaro,
dafür reicht so ein ALIX allemal. 
So um die 80 Mbit/s sind im reinen Firewallbetrieb mit einem ALIX drin (zumindest unter pfsense).

Gruß
Dirk

404

German - Deutsch / Re: Opnsense Alix Board 2D3 images ?

« on: February 22, 2017, 08:33:12 am »

Sollte noch gesagt werden dass 256 MB RAM wenig ist: Intrusion Detection, Netflow Reporting und Web Proxy sind hier nicht zu empfehlen.

Da hat Franco vollkommen recht!
Mehr wie eine reine Firewall-Funktion ist mit einem ALIX nicht drin! Allerdings eignen sich die Teile durch den Verschlüsselungs-Co-Prozessor ganz gut für eine Anbindung einer Filiale per VPN. Noch dazu haben die Teile einen sehr geringen Energieverbrauch.

405

German - Deutsch / Re: DynDns-Update: Unterschied zwischen WAN mit PPPoE / WAN über Router!?

« on: February 22, 2017, 08:19:16 am »

Tja,
da keine Antwort kam, hab ich einfach mal den Selbtsversuch gemacht!
Ich habe meinen cron-job mit der stündlichen DynDns-Aktualisierung deaktiviert.
Nach der täglichen Zwangstrennung durch O2, wird bei der automatischen PPPoE-Verbindungsherstellung durch die OPNsense auch immer automatisch der DynDns-Eintrag aktualisiert (IP).
Um kurz nach 01.00 Uhr nachts läuft täglich eine DynDns-Prüfung auf OPNsense auch ohne extra cron-job.

Fazit:
Bei einer PPPoE-Einwahl mit OPNsense baucht es für die DynDns-Aktualisierung keinen zusätzlichen cron-job zur regelmäßigen Prüfung bzw. Aktualisierung der IP-Adresse.

Gruß
Dirk