Messages

421

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 07, 2017, 09:59:40 am »

Von daher... No risk no fun. Haha 

In meiner Umgebung wäre aber eine nicht laufende Firewall ein High-Risk für mich!!!
Du kennst meine Frau nicht! 

422

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 07, 2017, 09:31:47 am »

deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache.

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen.

Ich warte auch immer ein Update ab!
Hat aber nichts mit OpenSource oder so zu tun, sondern ist einfach ein Erfahrungswert, den ich in über 20 Jahren IT gemacht habe!
Trifft leider auf alle Hersteller zu, dass ich zunächst auf das 1. Update/SP warte um Software zu installieren. Ich habe zwar auch schon meine 17.1 Image zu Hause, aber ich warte auch noch 1-2 Updates ab. Die 16.7.14 läuft bei mir absolut problemlos.

423

German - Deutsch / Re: Umstieg IPFire auf pfSense Fragen

« on: February 07, 2017, 09:14:22 am »

Was ist den an der BlackDwarf so interessant?
Ich denke bei der BlackDwarf ist ein extrem großer Kostenpunkt leider die Subscription.

Grundsätzlich ist die Terra Black Dwarf zunächst mal eine Firewall-Hardware! Es handelt sich dabei um ein Barebone der Firma Lex:
- Lex 3V700 ist die alte Version (nicht mehr zu empfehlen)
- Lex 3V900 ist die aktuelle Version

Neu kaufen kann man die Geräte als Black Dwarf nur mit der Securepoint Firewall-Software drauf.
Aber, gebraucht werden die Teile extrem günstig gehandelt. War gerade wieder ein Black Dwarf WiFi bei ebay-Kleinanzeigen für 50€ drin!
Meine Dwarfs habe ich für 35€ (3V700 mit 1 GB RAM und 1 GB-Flash) und 25€ (3V900 ohne RAM und HDD) gekauft. Meine 3V900 hat mich schlussendlich mit 4 GB RAM, 32GB SSD und Atheros Wifi-Karte ~ 80€ gekostet.
Für das gleiche Geld bekommst Du einfach keine vergleichbare Firewall-Hardware!

Klar, eine APU2 ist in jeder Hinsicht leistungsfähiger. Kostet aber eben auch mal ~ 200€ (SSD+Wifi). Gebraucht sind die APU-Boards bisher kaum zu haben. Dazu haben die APU2 keinen VGA-Ausgang.
Daher ist die Terra Black Dwarf m.E. ein echter Geheimtip für das Heimnetz.

424

German - Deutsch / Re: VPN Hardware und Fragen zu OPNsense

« on: February 07, 2017, 09:03:52 am »

Hi,
the-mk hat ja bereits die Probleme des Zotac ci323 nano angesprochen.
Beide LAN-NIC hängen an einer pcie-lane. Daher sind nicht mehr wie 500 drin! Das ist das Dilemma fast aller günstigen Lösungen.
Wenn Du wirklich ~ 1Gbit-Speed im Routing haben willst musst Du Dich schon Herstellern umsehen, die echte 'Serverboards' produzieren. Evtl. kann JeGr dazu noch etwas schreiben, da er sich mit den kompakten Produkten Lanner auskennt.

Da der Prozessor des Zotac AES-NI unterstützt sollte 100-150 Mbit für VPN realistisch sein.

Gruß
Dirk

425

German - Deutsch / Re: [SOLVED] Dringend - ClamAV Update auf Server hinter OPNsense geht nicht mehr

« on: February 06, 2017, 04:12:06 pm »

@Stefan21
Neustart des squid-Dienstes per GUI hätte wohl auch gereicht! 
Ist mir auch schon ein mal negativ aufgefallen, dass nach einem Update der OPNsense der squid scheinbar nicht aktualisiert wurde.
Nach einem Neustart des Dienstes war dann auch der squid aktualisiert.

 

426

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 02:06:06 pm »

OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.

Dokumentation ist leider ein generelles Problem, selbst bei kommerziellen Produkten!
Die Dokumentation unserer Firmen-Firewall hängt auch immer hinterher. Mit etwas Glück/Suche findet man die Lösung dann im Hersteller-Wiki oder im Hersteller-Forum. 
Dokumentation kostet halt Zeit und damit Geld. Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein goßer Aufwand. Für ein Opensourceprojekt wird das dann noch viel schwieriger. Längst nicht jeder gute Programmierer schreibt auch verständliche Dokumentationen.

Im Prinzip sind aber alle mir bekannten Firewalls ähnlich aufgebaut. Und wer das Grundprinzip verstanden hat, findet sich auch mit einem anderen Produkt schnell zurecht. Und die speziellen Anforderungen gehen dann schon wieder weit über das 'Dummy-Niveau' hinaus!
Nichtsdestotrotz würden sich die OPNSense-Entwickler mit Sicherheit darüber freuen, wenn sich freundliche Doku-Schreiber in der Community finden würden! 

427

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 01:41:34 pm »

..was da so für Protokolle im LAN herum schwirren, und welche Ports zum Arbeiten tatsächlich benötigt werden.
Heute morgen habe ich z. B. gelernt, dass der Port 3000 sehr wichtig ist. Wenn ich erstmal alles verbiete, dann geht natürlich auch das Online-Banking nicht...

Hmm,
gibt es eigentlich keine 'Protokolle' die im LAN herumschwirren, sondern Dienste die auf einem Port kommunizieren bzw. lauschen.
Und ja, ein deaktivieren der ausgehenden Any2Any-Regel auf der Firewall bedeutet zunächst mal viel Arbeit. Aber eben auch ein erhöhtes Maß an Sicherheit! Sonst brauchst Du keine Firewall zu benutzen, sondern kannst auch  gleich eine Fritzbox nehmen. 
Und den Port 3000 würde ich auch nicht einfach so auf der FW freischalten, sondern ich würde eine Gruppe (Alias) erstellen. In diese Gruppe nimmst Du alle Rechner im Netz auf, die Banking überhaupt machen dürfen. Und ausschließlich für diese Gruppe wird der Port 3000 in der Firewall freigeschaltet!
Ja, dass klingt sehr aufwändig, aber nur dadurch weiß man genau, was welcher Rechner im Netz darf und was nicht.

Zu Deinem ClamAV-Problem fällt mir folgendes ein. Hast Du schon mal versucht die ClamAV-Updateserver in das Whitelisting des Proxy einzutragen?
Oder die IP-Adressen Deiner internen Server in die Liste der 'Unristricted IP adresses' (siehe Bild)?
So ein ähnliches Problem hatte wir hier in der Firma auch mal, als die Firewall die Updates für unseren GData-AV-Updates geblockt hatte. 

Gruß
Dirk

 

428

German - Deutsch / Re: Anfängerfragen

« on: February 06, 2017, 11:06:55 am »

@Oxy
Ja, wie sich die Zeiten ändern. 
Vor 15 Jahren hatte ich noch einen eigenen Server zu Hause stehen und der ganze 'Computakrams' nahm einen nicht unerheblichen Platz/Raum und mindestens nochmal so viel Freizeit ein. 
Aber Prioitäten ändern sich ganz schnell, wenn man die richtige Frau im Leben trifft!
Heute spielt der Comutakrams nur noch eine berufliche Rolle in meinem Leben und die Freizeit wird anders genutzt.

429

German - Deutsch / Re: 17.1 Nano i386 hängt nach Installation

« on: February 06, 2017, 08:52:09 am »

Hat jemand Erfahrung mit dem Update von 16.7. auf 17.1 bei den NanoBSD-Images im Hinblick auf die Änderung der Slices. Bekommt das der Update-Prozeß hin?

Das Update steht bei mir noch an.
Aus dem Forum kommt aber die Empfehlung möglichst kein Update zu machen, sondern nach Möglichkeit eine Neuinstallation mit anschließendem Restore des Backups!
https://forum.opnsense.org/index.php?topic=4394.0

Grundsätzlich gibt es aber bereits einige Erfolgsmeldungen  eines Updates von 16.7.14_2 -> 17.1

Ich werde demnächst mal die CF-Karte tauschen. Das 17.1'er Nano habe ich bereits auf eine neue CF-Karte gespielt.

430

German - Deutsch / Re: Anfängerfragen

« on: February 06, 2017, 08:45:19 am »

Gibt es ne Anleitung wie es mit dem einrichten funktioniert?

Eine sehr gute Einführung findest Du z.B. hier:
https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Die grundsätzliche Konfiguration des WLAN lässt sich nahezu 1zu1 umsetzen.

Das Wichtigste ist zunächst mal, dass Du Dir die richtige Hardware für FreeBSD (OPNSense) besorgst. Wenn es keinen Treiber für den WLAN-Chipsatz gibt hast Du eh keine Chance!!!
Hier mal ein Beispiel für den Ralink-Treiber-Support unter FreeBSD und einige unterstützte WiFi-Sticks: https://www.freebsd.org/cgi/man.cgi?query=run&sektion=4&manpath=freebsd-release-ports

Ansonsten gilt das aus meinem vorherigen Post geschriebene. USB-WiFi mit OPNSense ist heikel! 
Ich würde das nur in Ausnahmefällen machen. Bei mir lässt sich aus Platzgründen kein separater AP nutzen, daher musste ich die Notlösung per WiFi-Stick umsetzen. Meine Frau hat eine Aversion gegen Computakrams der in der Wohnung steht, daher hängt meine OPNSense unter dem Schuhschrank im Flur. 

431

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 08:24:10 am »

Moin Stefan,
schau mal in den Fred rein: https://forum.opnsense.org/index.php?topic=4230.msg15666#msg15666
Da sind eigentlich schon sehr viele Fragen beantwortet worden.

Dann empfehle ich Jedem Einsteiger das folgende Tutorial: https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Da finden sich extrem viele nützliche Hinweise auch und gerade, was man generell so mit einer Firewall machen kann. Vieles davon lässt sich auch 1zu1 für die OPNSense umsetzen.

Gruß
Dirk

432

German - Deutsch / Re: 17.1 Nano i386 hängt nach Installation

« on: February 06, 2017, 08:16:31 am »

Mein Fazit soweit: Die Hardware ist wohl echt zu schwachbrüstig für OPNsense.
Rein interessehalber: Wo liegen die großen Unterschiede zur pfSense, die sich so massiv auf die Performance auf der kleinen Hardware auswirken?

Also grundsätzlich hast Du natürlich recht. Die Hardware ist wirklich schwach! 
Trotzdem sollte OPNSense problemlos laufen. Ich nutze OPNSense 16.7.xx schon einige Monate auf einem VIA Eden 500 MHz mit CF-Karte.
Für die Firewall und Webproxy reicht die Leistung aus. Der Start dauert halt etwas und das GUI läuft manchmal etwas zäh. Ein Neustart des WebProxy z.B. dauert halt ein paar Minuten. 
So 50-60Mbit schaffe ich mit dem Teil. Mehr als genug für meinen DSL8000-Anschluss.

Muss daher ein anderes Problem sein, warum das System nicht bootet.

433

German - Deutsch / Re: Anfängerfragen

« on: February 04, 2017, 07:06:12 am »

@chemlud
Na ja, ich lass meine OPNSense ja auch auf einem VIA Eden mit 500 MHz und CF-Karte laufen. Ja, es geht und es reicht auch für 50Mbit, wenn man kein IDS/IPS und SSL Interception nutzt.
Aber ein Neustart des Webproxy dauert dann Mal eben mehrere Minuten. Als Testumgebung zum rumprobieren würde ich so etwas aber nicht nutzen wollen!

@Maniac
USB WiFi mit OPNSense ist heikel!
1. Muss der Treiber den AP Mode unterstützen. Die besten Erfahrungen hab ich mit Chipsätzen von Ralink gemacht
2. Der AP Mode muss stabil laufen. Leider sind WiFi-Sticks i.d.R. nicht auf einen Betrieb als AP optimiert. Ich habe hier mehrere Sticks, die einfach nicht stabil als AP laufen! Andere sind nach einigen Stunden/Tagen schlichtweg durchgebrannt!
3. Bekommst Du nur 11g-speed (54 Mbit). M.W. gibt es keinen Stick der unter FreeBSD 11n oder gar ac schafft. Gibt einfach keine Treiber!
Daher die Empfehlung einen echten AP zu verwenden! Gibt es schon für ~30€ und Du hast keine Treiberprobleme und den vollen Speed!
Falls Du es immer noch mit einem WiFi-Stick probieren willst hol Dir z.B. einen Tenda W311! Läuft seit Monaten an meiner OPNSense 16.7.x absolut zuverlässig als AP!
Unter der 17.1 (FreeBSD 11) habe ich noch keine Erfahrung gemacht!

434

German - Deutsch / Re: Anfängerfragen

« on: February 03, 2017, 03:50:59 pm »

Moin,
na ja, das Board bzw. der Prozessor ist wirklich schon etwas old!
Insbesondere da die alten Atoms keine AES-Einheit haben sind die nicht gut für VPN geeignet.
Mal so als (Geheim)Tip:
https://www.ebay-kleinanzeigen.de/s-anzeige/terra-black-dwarf-hardware-firewall/591505452-225-4719

Der Terra Black Dwarf eignet sich Ideal zum Aufbau einer Firewall für zu Hause!
Man muss nur aufpassen eines der neueren Modelle zu erwischen!!! Diese Sind an den Antennenausgängen am Gehäuse aber einfach zu erkennen.
- 1 GHz VIA Nano CPU (64 Bit)
- Padlock Einheit (AES Coprozessor)
- 3 x Gbit LAN
- max. 4 GB RAM im Sockel (haben 2-4 GB ab Werk)
- SATA Anschluss
- 2 mPCI Slots (1 davon mit SIM)

Je nach Modell ist bereits eine Atheros Wifi-Karte und oder 3G-Karte vorhanden. Die werden auch aktuell och neu verkauft (~400€)!
Die tauchen immer wieder für schmales Geld bei ebay/ebay-kleinanzeigen auf.

Gruß
Dirk

PS: OPNSense läuft super darauf. Habe zu Hause selbst eine Terra Black-Dwarf-Hardware

435

German - Deutsch / Re: Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?

« on: February 03, 2017, 09:29:16 am »

Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.

Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?
Ich trenne doch nicht per Interfaces in WLAN und LAN und stöpsel beide dann wieder an einen Switch?
Übersehe ich da grade was? Ich bitte um Aufklärung

Ich würde das zusammenführen von vLAN auf einem Switch sogar als gängige Praxis im Enterprise-Umfeld bezeichnen. 
Es ist ja gerade der Vorteil, dass man per vLAN eine physische Infrastruktur mit mehreren getrennten LAN betreiben kann. Wir betreiben z.B. in unserer Firma Switche die untereinander per LWL verbunden sind.
Und nur per vLAN's ist es überhaupt möglich die unterschiedlichen Netzwerke über eine LWL z.B. in das Lager oder in die Fertigung zu bringen.
Kürzlich wurde eine Videoüberwachungsanlage für den Außenbereich beschafft. Auf die Videoüberwachung darf niemand aus unserer Firma aus arbeitsrechtlichen Gründen zugreifen, sondern ausschließlich das beauftragte Sicherheitsunternehmen. Ergo, sind alle Komponenten des Überwachungssystems in einem eigenen vLAN. Die Sicherheitsfirma hat einen exklusiven Zugang über das Internet in das vLAN.

Und wie bereits mehrmals geschrieben. Irgendwann hat man immer zuwenig NIC's in der Firewall, so dass man gar nicht mehr um vLAN herumkommt.  Gerade wenn man z.B. Testumgebungen für verschiedene Kunden betreibt geht es nicht ohne vLAN's.
Das größte Problem, dass ich bei vLAN's sehe ist das man schnell in einen Performanceengpass kommen kann. Über eine 1 GBit-Leitung gehen halt nur 1 Gbit. Und wenn da 3 oder 4 vLAN darüber laufen, die entsprechend Last erzeugen kann das schon zu Problemen führen.
Das war auch der Grund dafür, dass unsere Switche untereinander per 4 GBit-FC verbunden sind.
Ich würde mir jedenfalls keine Firewall-Hardware für zu Hause nur deswegen beschaffen, weil ich 4, 6 oder 8 LAN-Anschlüsse brauche (bzw. glaube die irgendwann einmal brauchen zu können)!