Messages

406

German - Deutsch / Re: Opnsense Alix Board 2D3 images ?

« on: February 22, 2017, 08:05:42 am »

Sorry Franco,
aber es geht hier um ein ALIX-Board (32 Bit CPU) mit CF-Slot. 

@x.zepto
Da ich mal davon ausgehe, dass Du den CF-Slot des ALIX nutzen willst, musst Du das folgende Image verwenden:
OPNsense-17.1-OpenSSL-nano-i386.img

Bein Nano-Image werden die Schreibzugriffe auf die CF-Karte minimiert. Als CF-Karte ist mind. eine 4GB-Karte erforderlich. Bei größeren CF-Karten wird beim 1. reboot das Filesystem an die Karte angepasst (grow-fs).

Gruß
Dirk

407

German - Deutsch / [SOLVED] DynDns-Update: Unterschied zwischen WAN mit PPPoE / WAN über Router!?

« on: February 20, 2017, 01:37:50 pm »

Moin,
bis vorletzte Woche hing meine OPNsense 16.7.14 hinter einem O2 Router. DynDns war per cron so konfiguriert, dass die IP-Adresse stündlich geprüft wurde (immer viertel nach).
Das hat auch recht zuverlässig funktioniert.

Seit 2 Wochen habe ich jetzt den Router durch ein Modem ersetzt. Die Einwahl erfolgt jetzt per PPPoE. An den DynDns-Einstellungen selbst habe ich nichts geändert (cron).
Beim prüfen der LOG's ist mir jetzt aufgefallen, dass die WAN-Schnittstelle (PPPoE) offenbar sofort 'bemerkt', wenn sich die IP-Adresse des Interfaces ändert. Das DynDns-Update wird auch automatisch vorgenommen.
Anbei mal die entsprechenden Log-Einträge:

• Um 09:15 Uhr erfolgte die IP-Prüfung (cron). Keine Änderung!
• Um 09:29 Uhr erkannte das WAN Interface eine neue IP (Zwangstrennung durch O2)
• Um 10:15 Uhr erfolgte die IP-Prüfung (cron). Keine Änderung!

Code: [Select]

Feb 20 10:15:01 opnsense: /usr/local/etc/rc.dyndns.update: Dynamic DNS (xxx.spdns.org): No change in my IP address and/or 25 days has not passed. Not updating dynamic DNS entry.
Feb 20 10:15:00 configd.py: [f14b242e-497b-40e9-8ef5-48a0abe6bcf0] updating dyndns
Feb 20 09:29:36 opnsense: /usr/local/etc/rc.newwanip: Dynamic DNS: (Success) IP Address Updated Successfully!
Feb 20 09:29:36 opnsense: /usr/local/etc/rc.newwanip: Dynamic DNS: updating cache file /conf/dyndns_wancustom'xxx.spdns.org'0.cache: 78.54.162.xxx
Feb 20 09:29:34 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 62.52.200.160
Feb 20 09:29:34 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 78.54.162.xxx) (interface: WAN[wan]) (real interface: pppoe0).
Feb 20 09:29:34 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Feb 20 09:29:33 configd.py: [afd7e393-d31b-482f-a2a4-2921ed5efccd] rc.newwanip starting pppoe0
Feb 20 09:29:29 configd.py: [a65df86d-d8d5-461e-8396-39f90fbd97df] Rewriting resolv.conf
Feb 20 09:15:01 opnsense: /usr/local/etc/rc.dyndns.update: Dynamic DNS (xxx.spdns.org): No change in my IP address and/or 25 days has not passed. Not updating dynamic DNS entry.
Das stellt sich mir die Frage, ob der cron job für das DynDns-Update bei der Einwahl per PPPoE überhaupt gebraucht wird?

Gruß
Dirk

408

German - Deutsch / Re: Firewall eigener Traffic zu unbekannter IP

« on: February 15, 2017, 11:17:41 am »

Geht es nicht etwas genauer?
Im Log müsste ja auch der Port aufgeführt sein, über den die Kommunikation läuft.

Meine FW fragst z.B. regelmäßig die Zeit bei ntp-Servern oder auch DNS-Anfragen ab (z.B. WAN   78.54.52.xxx    176.9.92.196:123).
Evtl. fragt surricata auch regelmäßig nach Updates der IDS/IPS-Definitionen nach?
Mal ein Whois auf die IP gemacht? Scheint ja eine IP von Host-Europe zu sein.

409

German - Deutsch / Re: OPNsense ist der Wahnsinn

« on: February 15, 2017, 11:09:37 am »

Also: Mehr Mitmacher, weniger Forumvollquatscher :-D

Da hast Du wohl recht! 
Ich habe aber ehrlicherweise keine Zeit/Lust Betatester zu spielen. So etwas nervt mich schon bei unseren kommerziellen Softwarelösungen im Unternehmen maßlos.

410

German - Deutsch / Re: OPNsense ist der Wahnsinn

« on: February 15, 2017, 08:33:20 am »

Sehr interessante Diskussion 
Und sehr sachlich!

Das mit den Updates (insbesondere zu 17.1) ist mir auch extrem negativ aufgefallen. Mir kommt es auch so vor, als wenn man auf Krampf irgendwie die präsentierte Roadmap einhalten will. Koste es was es wolle. Dabei zählt m.E. bei einer Firewall die Stabilität mindestens genau soviel wie die Sicherheit!
Ich bin inzwischen froh, nicht die Zeit gefunden zu haben auf die 17.1 upzudaten und werden zunächst mal noch einige Wochen bzw. Updates abwarten bis ich diesen Schritt vollziehe.

Dann zum Thema Einordung der sensen (SOHO/Enterprise). Woran will man so etwas fest machen? Zum einen natürlich an der Sicherheit/Stabilität  . Ein anderer wichtiger Punkt sind aber auch die Features. So setzen die Unternehmen die ich so kenne auf UTM-Lösungen kommerzieller Hersteller. Ich kenne erhrlicherweise gar kein Unternehmen, dass eine *sense einsetzt!
Kommerzielle UTM beinhalten neben der reinen Firewallfunktion eben Dinge wie professionelle AV-Scanner und Email-Spamfilter. Auch bieten z.B. Webproxy's solcher kommerziellen Systeme ganz andere Möglichkeiten (z.B. gruppenabhängige Filterprofile, Zeitprofile, Quarantäne von Downloads, Anpassung der Sperrseite, usw.)
Wenn ich mir nur diese 2 Bereiche bei den sensen ansehe fehlt das so Einiges, was ich als Standard professioneller UTM's bezeichnen würde.
Auf der andere Seite gibt es reichlich Anwendungsfälle, wo solche Features gar nicht gebraucht werden. Wer z.B. in einem Hotel oder einem Campingplatz für hunderte Gäste WLAN anbieten will fährt mit den sensen sehr gut (Captive Portal). So etwas bieten kommerzielle Systeme nur gegen einen nicht unerheblichen Aufpreis an! 
Auch für die Filialevernetzung eignen die sensen sich m.E. sich ideal. Also durchaus Enterprise fähig. Kommt halt immer auf die genauen Anforderungen an. 

Wie nun OPNsense da Einzuordnen ist, mag jeder selbst entscheiden. Ich bewerte es z.B. sehr positiv, dass auch noch NANO-Images und x86 weiterhin unterstützt werden, da ich selbst entsprechende Hardware nutze.
Auch bin ich Dir Meinung, dass nicht unbedingt krampfhaft jedes Feature unterstützt werden muss. Lieber eine kleine feine Lösung als ein Featuremonster, dass kaum noch vernünftig supportet werden kann! Und wenn die OPNsense die 'kleine' pfsense ist. So What! Der Markt ist sicherlich groß genug für beide Lösungen.

Gruß
Dirk

411

German - Deutsch / Re: OPNsense ist der Wahnsinn

« on: February 14, 2017, 04:25:30 pm »

Aber sicher, vieles subjektiv. Allerdings finde ich die Hardware Unterstützung jetzt nicht soo mies. Das hängt aber natürlich stark davon ab was ich will. Eine Firewall bauen? Oder eine Wollmilchsau Mir wäre bspw. der Wegfall von WiFi o.ä. völlig egal, da ich der Meinung bin, dass das direkt auf meiner Firewall eigentlich nix zu suchen hat Aber da bin ich eben Purist und mehr im Enterprise Umfeld aktiv. Da erwartet niemand, dass man alles auf eine Kiste packt.

Das sehe ich allerdings genauso, ganz gleich wie viele Probleme die Leute beim einrichten dabei haben, sehe ich keinen Grund WiFi einer Firewall bereitzustellen, wenn es denn AP gibt für nen fuffi. 

Hmm,
im Enterprise-Umfeld stimme ich Euch 100%ig zu. Dort wird wohl niemand auf die Idee kommen eine FW gleichzeitig als AP zu nutzen. 
Im Heimbereich sieht es dann schon wieder ganz anders aus. Nicht weil ein separater AP zu teuer wäre, sondern ausschließlich aus praktischen Erwägungen. Bei mir z.B. habe ich schlichtweg ein Platzproblem, dass den Einsatz eines zusätzlichen AP unmöglich macht. Dazu kommt dann noch der zusätzliche Energieverbrauch eines extra AP.

Ich habe nur einen Umkreis von rund 10m um meine OPNsense herum per WLAN abzudecken. Schaffe ich problemlos mit meinen beiden USB-Wifi-Sticks in der OPNsense (WLAN intern, Gäste-WLAN). 

Gruß
Dirk
 

412

German - Deutsch / Re: QoS Regelsatz Diskussion

« on: February 14, 2017, 12:14:54 pm »

Hmm,
in einem 3 Personenhaushalt über QoS nachzudenken. Respekt!
Es gibt viele Firmen, die über ähnliche Bandbreiten angebunden sind wo man problemlos ohne QoS auskommt. Und da arbeiten dann 20-30 Leute im Netz.

413

German - Deutsch / Re: Client Isolation zur Analyse der Verbindungen

« on: February 14, 2017, 11:04:56 am »

(incl live stream mit Sound und Bild aus deinem Wohnzimmer) kannst du nicht wissen oder steuern.

Mein Smart TV hat weder Kamera noch Mikrofon 
Bei vielen Leuten braucht es nicht mal einen Smart-TV! Die Posten doch ohnehin jeden Ihrer Schritte bei Fratzenbuch/Instagram/oder sonstwohin. 
Aber ich stimme Dir zu, was da genau an Daten übertragen wird weiß ich nicht, wobei wir dann wieder beim Thema Paranoia sind.
Ich weiß auch nicht, was mein PC/Tablet/Smartphone genau an Daten überträgt. Aber ich möchte eben durchaus die vernetzte Informationen bzw. die Vernetzung der Geräte nutzen (z.B. Google Maps auf dem Smartphone) und mir ist bewusst, dass Google damit jeden meiner Schritte protokolliert. 

Ich denke das Thema ist unerschöpflich und es prallen die unterschiedlichsten Standpunkte aufeinander.
So lange man weiß, was man da tut ist es m.E. eine persönliche Entscheidung ob und wie man Smarte-Geräte in seinem Heimnetz betreibt/nutzt.
So, und nun lass uns mal wieder auf das Thema von neOh zurückkommen. 

414

German - Deutsch / Re: Client Isolation zur Analyse der Verbindungen

« on: February 14, 2017, 10:09:23 am »

Hi!

Solche Labertaschen wie Samsung "Smart"-TVs oder Spielkonsolen willst du doch nicht wirklich im selben Netz wie deine Clients, mit denen du Online-Banking oder -Shopping machts, oder? Da würde ich von vorneherein ein eigenes Netz für solche Trash-Kisten aufmachen und dort nach und nach diese Geräte zum laufen bringen (mit Löchern in der Firewall aka UPnP öffnet Ports etc.)... ;-)

Da sind wir wieder beim Thema Paranoia! 
Ich denke mal, dass muss Jeder für sich selbst entscheiden. Man möchte ja evtl. durchaus die Vorzüge (s)eines Smart-TV nutzen und dazu brauchen die Teile nun mal neben einem Internetzugang evtl. auch einen Medienserver im gleichen LAN, usw.
Immerhin kann ich dank OPNsense genau steuern wohin mein Smart-TV seine Daten senden darf. Damit ist man immerhin schon weiter wie Millionen von Menschen die Ihren Internetzugang einer FritzBox oder einem 08/15-Router vom Grabbeltisch überlassen.

415

German - Deutsch / Re: PPPOE Einwahl zu einer bestimmten Zeit

« on: February 14, 2017, 09:39:11 am »

Nachdem meine Firewall innerhalb der letzten Wo. sich 4x aufgehängt hat bin bin ich doch wieder zur funktionierenden pfsense zurück.
Habe nicht die Zeit und die Nerven auf Fehlesuche zu gehen. Sorry

Schade, aber ich kann das nachvollziehen. Ich bin seinerzeit von pfsense zu OPNsense gewechselt, da pfsense 2.2.x immer bei der Aktivierung meines USB-Wifi-Stick als AP abgestürzt ist. 
Unter OPNSense läuft der Stick ohne Probleme als AP.

Gruß
Dirk

416

German - Deutsch / Re: Client Isolation zur Analyse der Verbindungen

« on: February 14, 2017, 09:28:35 am »

Hmm,
Du kannst Doch im Firewall-Log diversen kriterien Filtern z.B. Source- und/oder Destination-IP, Port, usw.
Sollte eigentlich reichen um herauszufinden welches Gerät genau wohin telefonieren will.
Welche Daten übertragen werden bekommst Du so natürlich nicht mit. Da müsste man dann schon mit DPI rangehen oder den Traffic des Gerätes z.B. per Whireshark mitschneiden.

Zum Thema Smart-TV. Falls Du ein Samsung-Gerät nutzt könnte der folgende Link hilfreich sein:
https://jkry.org/ouluhack/HackingSamsungSmartTV

Gruß
Dirk

417

German - Deutsch / Re: kein WLAN 802.11n mit WLE200NX

« on: February 13, 2017, 03:09:45 pm »

Gibt es hier schon was neues?
Ich besitze einen APU2C4 und habe Probleme mit der WLE200NX.
Ich komme auch nicht über 20 Mbit/s, zudem hab ich beim WLAN Interface unter "netstat -i" haufenweise Ierrs und

Schau mal hier: https://forum.opnsense.org/index.php?topic=4430.0
Scheint zumindest unter der 17.1 besser zu laufen.

418

German - Deutsch / Re: DynDNS - Custom Type

« on: February 12, 2017, 08:03:09 am »

Moin,
in das Result-Feld muss man i.d.R. nichts eintragen.
Das brauchst Du höchstens, wenn der DynDns-Dienstanbieter einen sehr exotischen Rückgabewert liefert. 

Zum Update:
Unter System -> Settings -> Cron kann der Updatezyklus des DynDns-Dienstes konfiguriert werden.
Das Logging erfolgt dann in System -> Log File

Gruß
Dirk

419

German - Deutsch / Re: Immer wieder Fehlermeldungen bei dyndns-update

« on: February 10, 2017, 08:06:40 am »

Moin,
vor 2 Tagen habe ich den Router meines Providers (Alice WLAN1421) gegen ein Turbolink AR860 Modem getauscht. Einwahl läuft jetzt per PPPoE direkt über die OPNsense.
Seit der Umstellung sind die Fehlermeldungen beim Update der IP-Adresse verschwunden.

Außerdem hat sich die Geschwindigkeit meines Anschlusses etwas verbessert. Per vorgeschaltetem Router erreichte ich so zwischen 6,5-7 Mbit. Jetzt per Modem erreiche ich immer zwischen 8-9 Mbit. Immerhin!
Der Ping hat sich von ~ 25 ms auf < 10 ms verringert.

420

German - Deutsch / Re: Umstieg IPFire auf pfSense Fragen

« on: February 08, 2017, 11:22:19 am »

@JeGr
Na ja, das Preisargument bei den FritzBoxen zieht nicht so recht. Viele werden so ein Teil ja für ein paar Euros von Ihrem Leitungsanbieter bekommen haben. Meine Eltern haben inzwischen sogar 2 Fritten zu Hause rumstehen.

Ich finde die APU2-Serie echt genial und das wäre auch meine Wahl gewesen, wenn ich jetzt nicht beruflich schon mal mit den Terra Black Dwarf zu tun gehabt hätte und daher diese Plattform kannte.
Fakt ist nun einmal, dass die Black Dwarfs recht zahlreich auf den diversen Verkaufsplattformen für teilweise schmales Geld angeboten werden. Mit 3 LAN-Ports und 2 x mPCI und lüfterlos erfüllen Sie m.E. auch ideal alle Anforderungen, die viele Anwender so an eine typische Home-Firewall stellen.
Es braucht halt nicht jeder die Leistung einer APU2/Zotac/Lanner/usw. zu Hause.