Topics

Hallo allerseits

Ich beschäftige mich gerade mit den Geräten von Protectli.

TPM: Einige der Boxen kann man mit einem TPM bestücken.
https://kb.protectli.com/kb/tpm-on-the-vault/
Weiss jemand, ob dahingehend irgendwelche OPNsense-Entwicklungsbestrebungen bestehen? Bis auf folgende feature requests habe ich nichts in diese Richtung gefunden.
https://github.com/opnsense/src/issues/159

Erweiterte Sicherheitsfunktionen. Zitat: "Our recommendation: If security is important, we recommend coreboot in general and the advanced security features available on the Vault Pro Series."
https://eu.protectli.com/buyers-guide/#security
Ich bin mir nicht sicher, ob mit den "advanced security features" die "coreboot Security Features" gemeint sind. Denn diese scheinen wiederum nur bei einer Teilmenge der Vault Pro series implementiert zu sein.
https://kb.protectli.com/kb/coreboot-security-features/
Weiss da jemand mehr dazu?

Bei diesen Boxen (VP4600 series und VP2420) wird auch die Intel ME standardmässig (nur soft) deaktiviert. Was mich auf die Idee bringt zu fragen, ob sich jemand von euch schon mal mit dem Thema Intel ME deaktivieren per "HAP / AltMeDisable bit (aka disabling ME)" beschäftigt hat?
https://docs.dasharo.com/osf-trivia-list/me/#HAP

Hallo allerseits

Die Pro-Argumente für das ZFS-Dateisystem (u. A. hier: https://forum.opnsense.org/index.php?topic=21163.30) haben mich dazu veranlasst, eine APU2 mit 4 GB RAM und einer 16 GB SSD entsprechend zu installieren. Dabei habe ich die Standardeinstellungen des Installationsassistenten verwendet.

Das Ergebnis sieht so aus:

Code Select Expand

Memory usage: 24 % (1005/4035 MB)

SWAP usage: 0 % (0/8192 MB)

Disk usage:
15% / [zfs] (911M/6.0G)
1% /boot/efi [msdosfs] (1.8M/260M)
0% /tmp [zfs] (652K/5.1G)
0% /zroot [zfs] (96K/5.1G)
0% /var/mail [zfs] (136K/5.1G)
0% /var/audit [zfs] (96K/5.1G)
0% /usr/ports [zfs] (96K/5.1G)
5% /var/log [zfs] (291M/5.4G)
0% /var/tmp [zfs] (96K/5.1G)
0% /usr/src [zfs] (96K/5.1G)
0% /usr/home [zfs] (96K/5.1G)
0% /var/crash [zfs] (96K/5.1G)
0% /var [tmpfs] (36M/11G)
0% /tmp [tmpfs] (200K/11G)

Drei Fragen dazu:
1. Der Installer erzeugt eine relativ grosse Swap-Partition. Braucht es die spezifisch für ZFS und wenn ja, ergibt es aus technischer Sicht Sinn, wenn diese so gross ist? Randbemerkung: Wenn man unter System --> Settings --> Miscellaneous "Add a 2 GB swap file to the system" angehakt, dann wird neben der Swap-Partition eine zusätzliche Swap-Datei erstellt.

2. Ergibt es aus technischer Sicht Sinn, wenn man beim Einsatz einer so kleinen SSD für /var und /tmp eine RAM-Disk verwendet zur Erhöhung der SSD-Lebensdauer?

3. Ein Blogger meint, dass gewisse Volumes für OPNsense "nicht unbedingt zweckmäßig" seien und entfernt diese kurzerhand (https://ip6.li/de/howto/bsd/opnsense-mit-zfs). Was meinen die Experten dazu? Kosmetik? Kontraproduktiv? Feature request?

Gruss, Stefan

Hallo allerseits

Der Dynamic-DNS-Dienst FreeDNS bietet neben der üblichen Methode "Authentifizierung mit Benutzernamen und Passwort" auch jene, die IP-Adresse ohne Angabe von Zugangsdaten zu aktualisieren. Dies erfolgt durch das simple Aufrufen einer URL im folgenden Format:

Code Select Expand

http[s]://[v6.]sync.afraid.org/u/[zufällig generierter Hash pro Hostname]/

Weiss jemand von euch einen Weg dies mit dem neuen DynDNS-Plugin os-ddclient zu realisieren? Via Custom-Service ist das nicht möglich, weil das Feld Server keine URL im obigen Format akzeptiert (please specify a valid address (IPv4/IPv6) or hostname).
Seit Version 1.2 wird FreeDNS unterstützt und das ganze funktioniert wie es soll, aber eben nur klassisch mit Angabe von Benutzernamen und Passwort. Ich bevorzuge die URL-Methode, da man bei einer Änderung des Konto-Passwortes die Konfiguration auf den Boxen nicht anpassen muss.

Gruss, Stefan

Hi allerseits,

der Titel sagt schon fast alles. Nach dem Update auf 21.7.4 ist das Netzwerk hier fast vollständig tot, weil ich etliche Aliase im Einsatz habe, die sich auf Host-Namen beziehen. Unter Firewall: Diagnostics: Aliases sind viele IPs nicht vorhanden. Und wenn ich eine DNS-Auflösung direkt auf der Firewall mache, dann wird auch keine IP zurück gegeben.
Unbound läuft und unter Services: Unbound DNS: General sind "Register DHCP leases" und "Register DHCP static mappings" nach wie vor angehakt.

Wie bekomme ich das wieder schnellstmöglich zum Laufen?

Gruss, Stefan

Hallo allerseits,

folgendes ist gegeben:

1. Office A <---> Office B verbunden mit einem route-based IPsec Tunnel gemäss:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html

2. Diverse statische Routen auf der OPNsense in Office A mit Zielen in Office B via Gateway des obigen IPsec Tunnels.

3. OpenVPN-Server für Road Warrior in Office A.

Office A kann auf die Ziele in Office B zugreifen. Zumindest kann ich von der OPNsense aus Ziele in Office B anpingen.

Frage: Was muss ich wie konfigurieren, damit auch Road Warrior die sich mit Office A verbinden auf Ziele in Office B zugreifen können?

Ich habe es bereits versucht indem ich die Routen gemäss obigem Punkt 2 an die OpenVPN-Clients gepushed habe, das alleine scheint aber nicht zu reichen.

Unter Firewall: Rules: OpenVPN ist vorerst nur eine allow any to any Regel eingerichtet.

Was fehlt noch?

Hallo Leute,
ich beschäftige mich gerade zum ersten Mal mit Suricata auf einer APU2 von PC Engines mit OPNsense 19.1.5_1 drauf.

Der Test mit dem Regelset OPNsense-App-detect/test funktioniert (WAN, Hyperscan, IPS, Alert und Drop). Die Eicar-Signatur wird erkannt, blockiert und unter Alarms erscheint ein entsprechender Eintrag.

Wenn ich das Regelset abuse.ch/URLhaus aktiviere und nach dem rule reload complete eine verseuchte Datei herunterlade (z. B. https://urlhaus.abuse.ch/url/1227/), dann wird diese URL vom IPS durchgelassen und es erscheint kein Eintrag unter Alarms.

Ich habe es auch mal nur im IDS-Modus und mit der LAN-Schnittstelle (IGB1) im promiscuous mode (wegen VLANs) versucht. Verhält sich auch nicht anders.

Funktioniert bei euch Suricata mit URLhaus?

Nach einem Reboot steht folgendes im Log:

Code Select Expand

suricata: [100237] <Notice> -- all 5 packet processing threads, 4 management threads initialized, engine started.
suricata: [100237] <Warning> -- [ERRCODE: SC_WARN_DEFAULT_WILL_CHANGE(317)] - in 5.0 the default for decoder event stats will go from 'decoder.<proto>.<event>' to 'decoder.event.<proto>.<event>'. See ticket #2225. To suppress this message, set stats.decoder-events-prefix in the yaml.
suricata: [100135] <Notice> -- This is Suricata version 4.1.3 RELEASE

Ich strähle gerade meine Firewall-Regeln durch und gleichzeitig bin ich das eine oder andere Gelesene betreffend "Härtung" umzusetzen. Dabei merke ich, dass ich Verständnisschwierigkeiten bezüglich den Floating Rules habe. Vor allem dann, wenn "Direction out" im Spiel ist. Dabei geht es mir ungefähr wie in diesem Thread hier: https://forum.netgate.com/topic/123029/solved-curious-floating-rules-behavior
Die Verunsicherung bleibt auch nach dem Lesen von: https://docs.netgate.com/pfsense/en/latest/book/firewall/floating-rules.html,
weil ich bei eigenen Tests das Verhalten nicht so recht nachvollziehen konnte. Irgendwie scheine ich es nicht so ganz kapiert zu haben.
Wie auch immer, könntet ihr bitte mal meine Konfiguration gemäss Anhang prüfen betreffend:

1. Verhindern, dass RFC 1918 Verkehr das WAN-Interface verlässt, Umsetzung gemäss:
https://docs.netgate.com/pfsense/en/latest/firewall/preventing-rfc1918-traffic-from-exiting-a-wan-interface.html

2. ICMP-Regeln, Umsetzung gemäss:
https://de.wikipedia.org/wiki/Firewall-Regelwerk#ICMP-Regeln

Und dann noch in die Runde gefragt: Habt ihr noch weitere solcher "Härtungs-Tipps" zum Teilen?

Hi folks
In the German part of the forum nobody has reacted yet, maybe it will work here.  :)

Problem: The IGMP proxy doesn't seem to load VLAN interfaces, see second outputs here:
https://forum.opnsense.org/index.php?PHPSESSID=f5ok07kdd6hojtmpahcjloeti7&topic=9570.msg43701#msg43701
Normal interfaces (not VLAN) are loaded normally, as can be seen in the first outputs.

Can someone reproduce this? Is this a known problem? Or is it just on my box?

Thanks.
Stefan

Hallo Leute,
ich versuche vergeblich Multicast IPTV über einen Smart-managed-Switch via VLAN-Trunk zu transportieren. Folgende Konstellationen habe ich getestet:
OPNsense --> Notebook: funktioniert
OPNsense --> "dummer" Switch --> Notebook: funktioniert
OPNsense --> Fritzbox (im IP-Client-Modus) --> Notebook: funktioniert
OPNsense <-- VLAN-Trunk --> ZyXEL-Switch (mit oder ohne IGMP-Snooping) --> Notebook: funktioniert nicht
OPNsense <-- VLAN-Trunk --> MikroTik-Switch (mit oder ohne IGMP-Snooping) --> Notebook: funktioniert nicht

Die VLAN-Konfiguration auf den Smart-managed-Switches funktioniert normal, nur Multicast scheint irgendwo auf der Strecke liegen zu bleiben.
Muss man bei einem VLAN-Setting bezüglich Multicast noch irgendwas Zusätzliches beachten?

Damit hier hat das nichts zu tun, oder? https://github.com/opnsense/plugins/issues/590

Danke für jegliche Inputs.

Gruss, Stefan

Hallo Leute,
seit geraumer Zeit ist TV7 ohne Mehrkosten in den Internetabos von Init7 enthalten. Guter Zeitpunkt um sich mit IPTV, Multicast und IGMP-Proxy zu beschäftigen. :)

Ich habe gemäss folgenden Anleitungen rumprobiert:
https://www.init7.net/de/support/faq/TV-andere-Geraete/
https://blog.pilif.me/2018/05/22/fiber7-tv-behind-pfsense/

Einfaches Testsetting: OPNsense 18.7.1_3 mit os-igmp-proxy, Notebook mit VLC media player direkt an der Sense angeschlossen. --> Funktioniert nicht, ich bekomme nicht mal ein Bild.

Bevor ich unter die Motorhaube schaue: Hat jemand von euch TV7 von Init7 via OPNsense erfolgreich am Laufen?

Grüsse, Stefan

Hallo allerseits

Ich wollte auf meiner OPNSense zu Hause mal kurz (ha, ha) Google SafeSearch & Co. wegen den Kidz in Betrieb nehmen.

Zuerst dachte ich, mach erst mal auf die Schnelle was mit Unbound so im Stil von:
https://support.opendns.com/hc/en-us/articles/227986807-How-to-Enforcing-Google-SafeSearch-YouTube-and-Bing
https://forum.opnsense.org/index.php?topic=3423.msg11265#msg11265
http://www.iamasuperuser.com/enforce-google-safe-search-using-pfsense/

Sobald ich aber via GUI --> Unbound DNS --> General --> Custom options --> include: /var/unbound/safesearch.conf z. B. zum Testen nur diese eine Zeile local-data: "www.google.ch A 216.239.38.120" hinzufüge, lässt sich anschliessend Unbound nicht mehr starten.

Via GUI --> Host overrides hat es glaub ich geklappt, aber gemäss den diversen Anleitungen müsste man ja für alle möglichen Google-Domains (https://www.google.com/supported_domains) einen Eintrag erstellen.

Fragen:

• Wie kann ich die Ursache für den nicht startenden Dienst eingrenzen?
• Gibt es direkt mit OPNsense eine elegantere Lösung als mit Unbound, z. B. mit Squid? Ansätze wie hier beschrieben haben bei mir auf die Schnelle nicht funktioniert: https://stackoverflow.com/questions/6592727/how-to-make-an-squid-cache-internal-url-rewrite
• Hat jemand von euch Google SafeSearch & Co. auf einer OPNsense am Laufen und möchte seine Erfahrungen hier bereitstellen?

Gruss, Stefan

Hi Leute,
ich verwende eine customized Squid-Konfig. und habe bis jetzt die Konfig.-Dateien so abgelegt:
/usr/local/opnsense/service/templates/OPNsense/Proxy/squid.user.pre_auth.conf
/usr/local/opnsense/service/templates/OPNsense/Proxy/squid.user.post_auth.conf
Das zusammengefügte Ergebnis konnte man dann jeweils in der /usr/local/etc/squid/squid.conf betrachten.

Ich glaube das geht nicht mehr, oder? Ich habe die eine relevante Datei jetzt so abgelegt:
/usr/local/etc/squid/pre-auth/squid.user.pre_auth.conf
Funktioniert und überlebt einen Reboot.

Frage: Ist das so gedacht und wird die Datei auch ein Update überleben? Ist das Thema irgendwo dokumentiert?

Gruss, Stefan

Hallo Schweizer/-innen

Jetzt wo die Swisscom die SIP Credentials herausgibt
https://www.swisscom.ch/de/privatkunden/hilfe/festnetz/sip-credentials.html
werden langsam aber sicher Lösungen ohne Swisscom-Router interessant.

Neben dem nun behobenen "SIP-Problem" müssen ja aber auch noch Dinge wie Swisscom TV (IGMP), DHCP Option 60, VLAN10, IPv6 und vielleicht noch mehr berücksichtigt werden. Beim Querlesen durchs Internet habe ich zwar diverse, aber eher ältere Anleitungen und Tipps gefunden, meist im Zusammenhang mit pfSense.

Darum meine Frage hier im Forum: Hat jemand Erfahrungen mit OPNsense ohne vorgeschaltetem Swisscom-Router die er/sie hier teilen möchte? Ist die Konfiguration und der laufende Betrieb stressfrei oder ein ewiges gefrickel? Gibt es Einschränkungen gegenüber dem Betrieb mit Swisscom-Hardware?

Gruss, Stefan

Hallo Leute

Ich hatte gestern mit einem sonderbaren Verhalten betreffend PPPoE-Einwahl zu kämpfen.

Ausgangslage: OPNsense 16.7.12 auf einer PC Engines APU2C4 hinter einem Swisscom Centro Business 2 mit aktiviertem PPPoE-Passthrough:
http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_PPPoE_Passthrough-de.pdf

Nach der Installation von OPNsense habe ich auf der Konsole die Schnittstellen Zugewiesen: igb0 = WAN, igb1 = LAN, igb2 = OPT.
Anschliessend im GUI das WAN-Interface von DHCP auf PPPoE umgestellt und entsprechende Zugangsdaten hinterlegt. Die Einwahl hat darauf nie funktioniert.
Nach langer Fehlersuche bin ich dann auf diesen Thread hier gestossen:
https://forum.opnsense.org/index.php?topic=3666.msg12534#msg12534
Und tatsächlich, nach einem Reset to factory defaults (via GUI) hat die Einwahl sofort geklappt.
Die Interfaces waren nach dem Reset wie folgt belegt: igb0 = LAN, igb1 = WAN und igb2 = OPT.
Sobald ich die Reihenfolge der Interfaces anders zuwies, funktionierte die PPPoE-Einwahl nicht mehr. Egal ob die Neuzuordnung vor oder nach dem Wechsel von DHCP auf PPPoE oder via Konsole oder GUI erfolgte.
Dummerweise habe ich die LOGs nicht rauskopiert. :-(

Scheint mir ein Bug zu sein. Falls ich etwas übersehen haben sollte bin ich froh um Aufklärung.

Gruss, Stefan

Hallo zusammen

Ausgehend von einer OPNsense mit drei Netzwerkschnittstellen (WAN, LAN1, LAN2) und vier VLANS an LAN1 (Trunk). Angenommen ich will einen zusätzlichen VLAN-Trunk mit einem Teil der bestehenden VLANs auch noch an LAN2 haben, wie gehe ich da am besten vor?
Gewünschte VLANS auch noch an LAN2 anlegen und mit den entsprechenden VLANS an LAN1 bridgen wäre konfigurierbar (Funktion noch nicht getestet) aber das scheint mir eine komische Konfiguration zu sein. Da gibt es sicher eine schlauere Lösung, oder?

Gruss, Stefan

Hallo allerseits

Ich mache gerade meine ersten Gehversuche mit dem Proxy im transparenten Modus.

1. Enable Transparent HTTP proxy: sieht gut aus.
2. Enable SSL mode: sieht gut aus.
3. SSL Domain/IP only: will irgendwie nicht so.

Gewisse Seiten funktionieren normal, andere gar nicht. Beim Aufruf von heise.de und google.ch erscheint allenfalls noch ein Titel im Tab, aber es wird kein Inhalt geladen. Die Seite lädt unendlich lange, kein Timeout, nichts.
Im Log erscheint folgendes beim Aufruf von google.ch:

Code Select Expand

2016/09/07 21:15:05 kid1|   SECURITY ALERT: on URL: www.youtube.com:443
2016/09/07 21:15:05 kid1|   SECURITY ALERT: Host header forgery detected on local=216.58.210.14:443 remote=192.168.200.122:59133 FD 103 flags=33 (local IP does not match any domain IP)
2016/09/07 21:15:02 kid1|   SECURITY ALERT: on URL: accounts.google.com:443
2016/09/07 21:15:02 kid1|   SECURITY ALERT: Host header forgery detected on local=216.58.210.13:443 remote=192.168.200.122:59130 FD 88 flags=33 (local IP does not match any domain IP)
2016/09/07 21:14:57 kid1|   SECURITY ALERT: on URL: www.google.ch:443
2016/09/07 21:14:57 kid1|   SECURITY ALERT: Host header forgery detected on local=172.217.16.195:443 remote=192.168.200.100:33773 FD 22 flags=33 (local IP does not match any domain IP)
2016/09/07 21:14:42 kid1|   SECURITY ALERT: on URL: www.google.ch:443
2016/09/07 21:14:42 kid1|   SECURITY ALERT: Host header forgery detected on local=172.217.16.195:443 remote=192.168.200.100:23512 FD 14 flags=33 (local IP does not match any domain IP)
2016/09/07 21:14:23 kid1|   Error negotiating SSL connection on FD 25: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (1/0)

Liegt das an meiner Konfiguration oder ist das ein Bug? Hat jemand "SSL Domain/IP only" erfolgreich am Laufen?

LG, Stefan

Hallo allerseits,
ich versuche gerade die "Kindersicherung" der FRITZ!Box auf der OPNSense umzusetzen.

Das Ziel sieht so aus:
1. Geräte der Kategorie "Kleinkinder" dürfen nur zu bestimmten Zeiten auf Webseiten gemäss Whitelist (Webfilter) zugreifen.
2. Geräte der Kategorie "Teens" dürfen nur zu bestimmten Zeiten auf Webseiten mit Einschränkungen (Webfilter) zugreifen.
3. Geräte der Kategorie "Erwachsene" dürfen zu jederzeit unbeschränkt ins Netz. Wobei eine minimale Webfilterung wie z. B. Malware und Werbung natürlich ganz praktisch wäre.

Ich kann den Geräten per DHCP eine fixe IP-Adresse zuweisen, diese in Aliasse zusammenfassen und Zeitpläne verwenden. Soweit so gut, aber ich scheitere beim filtern. Ich bringe nur zwei Kategorien hin: 1. Proxy mit den festgelegten ACLs und 2. Kein Proxy verwenden. Übersehe ich etwas?