Messages

121

German - Deutsch / Re: Ausgesperrt opnvpn https port

« on: July 18, 2017, 11:27:47 pm »

Hey hey,

root Deaktiviert? Why? 
Also zu mindestens Shell Rechte musst du Root doch lassen.
root --> nur Shell Rechte
Admin --> nur GUI Rechte
wäre vielleicht passend gewesen, wenn du auf diese Trennung abzielst.

Ist Port 443 denn überhaupt noch da oder liegt die Web Oberfläche jetzt auf nem ganz anderen Port?
Das könnte man mit nem Port Scan rauskriegen, welcher Port denn überhaupt noch reagiert. (Falls du den wirklich ausversehen umgestellt haben solltest)

tja.... ohne root kannst du das Web Gui nicht resetten, alte Konfig einspielen wird somit auch schwer ...

Wieviel Verlust hättest du denn wenn du die Kiste neu aufsetzt?
Hast du ein Backup einer alten Konfig noch rum zuliegen als es noch funktionierte?

Aber wie gesagt... wer deaktiviert bitte root KOMPLETT auf dem gesamten System?

Vielleicht hat ja außer mir noch jemand eine andere Idee.. 

Schöne Grüße,
Oxy

122

German - Deutsch / Re: OPNsense Performanceproblem bzw. kein Internet

« on: July 18, 2017, 11:16:13 pm »

Hey hey,

Auch habe ich bis zu 4 komplette Netzabbrüche bei welchen ich aus heiterem Himmel keinen Zugang mehr zum Internet habe. Ich vermute derzeit das die OpenVPN Clientdienste einfach neu starten, weil ich nach ca. 2 Minuten wieder Zugriff habe.

Dito. Selbes Problem bei mir. Ich werkel auch schon seit fast 2 Wochen an der OpenVPN Client Config kriege aber 1-2 mal am Tag einen Komplettausfall der VPN Verbindung, wodurch mein Internet dann für 2-3 Minuten weg ist, bis der Dienst wieder neu startet. Bist da also nicht alleine damit.
Was ich zum troubleshooten zurzeit mache ist das Verbosity Lvl zu erhöhen (mittlerweile auf 4)
um einfach jede noch so kleine Mini Nachricht abzufangen die einen Indiz auf den Absturz bringen könnte.

Zu deinem GUI Problem kann ich nichts sagen. Bei mir läuft alles Prima sonst mit der Geschwindigkeit bei CPU Spitzen von 10-20% CPU Auslastung.
Was hast du unter "System: Settings: Administration" bei "WebGui Compression" eingetragen?

Schöne Grüße
Oxy

123

German - Deutsch / Re: API: Erzeugung von Voucher mittels API

« on: July 18, 2017, 10:59:05 pm »

Hallo Webserver01,

ich muss da etwas schmunzeln weil ich vor einiger Zeit vor Haargenau dem selben Problem stand.
"Ich will Voucher über API erzeugen und die Ausgabe dann per PDF oder HTML regeln. Hmmm wie mach ich das bloß?  "

Da ich den ganzen Leidensweg mit fabian schon durch habe und er mich da erfolgreich "durchgeprügelt" hatte musst du eigentlich nur all das umsetzen was hier schon durchgekaut wurde:
https://forum.opnsense.org/index.php?topic=3810.0

Für meinen Betrieb hatte ich eine Anleitung dazu geschrieben.
Vielleicht hilft dir die und du kannst damit was anfangen:

____________________________________
 
Generierung von Voucher Codes über ein JRuby Tool

Vouchercodes können auch "extern" durch das Nutzen einer API Schnittstelle generiert und abgespeichert werden.
Dabei ist keine Veränderung des Firewall Quellcodes notwendig.
Der Zugriff auf die API Schnittstelle wird dabei gesichert über einen autorisierten API-Key durchgeführt.
Voraussetzung ist eine installierte JRuby Entwicklungsumgebung.
Hierfür den Anweisungen und Installationsanleitungen auf der Webseite folgen: http://jruby.org/
Die Ersteinrichtung des client.rb Scripts ist etwas schwerfällig,
da es ohne die Ausgabe von Fehlermeldungen geschrieben wurde.

ACHTUNG: Der Voucherserver muss bereits angelegt worden sein in OPNsense.

Eine vorbereitete Version zum Verwenden kann hier heruntergeladen werden:
Siehe Anhang: <Create-Voucher-Tool.rar>

Konfiguration:

Die Konfigurationseinstellung muss stets innerhalb des client.rb Scripts angepasst werden, da sie sonst nicht geladen wird!

Dafür unter "OPNsense-client-library-sample-master" > Rechtsklick auf "client.rb" und mit Notepad++ öffnen.
Zeile 11 innerhalb des Scripts ist die Zeile in der die Einstellungen festgelegt werden. Wichtig ist, dass die Schreibweise der Ordnerstruktur
beibehalten werden sollte wenn man leicht zum Ziel möchte.

Nachgetragen werden muss nun nur noch die "apikey.txt" Datei
im Ordner "Apikey" und das öffentliche Zertifikat der internen OPNsense Certificate Authority im .PEM Format.

Die Datei apikey.txt erzeugen:
    - Navigieren zu System > Access > Users.
    - Den Nutzer editieren, der über die API Schnittstelle kommunizieren darf.
    - Unter API keys auf das "+" Symbol klicken und die "apikey.txt" Datei
      im "Create-Voucher-Tool/Apikey" Ordner ablegen.

Die Datei Publicinternalca.crt erzeugen:
    - Internal-CA für die Web-GUI der OPNsense erzeugen und für diese ein Zertifikat ausstellen
    - Weg-GUI der OPNsense öffnen und schauen ob das von der "Internal-CA"
      ausgeschriebene Zertifikat verwenden wird.
      (Falls nicht in den OPNsense Einstellungen (Settings) abändern.)
    - Beim Internet Explorer oben links auf das Schloss-Symbol klicken > Details >
      View Certificate > Zertifizierungspfad > Internal-CA öffnen und in Datei kopieren. >
      Public-Key/Öffentliches Zertifikat "DER-codiert-binär (.CER)" exportieren.
    - Mithilfe von Unix (OpenSSL) oder der Webseite https://www.sslshopper.com/ssl-converter.html
      dieses Zertifikat auf ein .PEM umwandeln und als .crt abspeichern.
    - Die abgespeicherte .crt Datei im Ordner Create-Voucher-Tool/Zertifikate ablegen.
    ---> Client.rb Konfiguration überprüfen und falls nötig abändern.

Wenn die Konfiguration richtig erkannt und verarbeitet werden konnte öffnet sich ein Fenster mit den Reiten "Voucher" und "Einstellungen".

Kann der Reiter "Voucher" nicht gestartet werden sind die Konfigurationseinstellungen falsch und müssen überprüft werden.

Das Fenster sollte wie folgt aussehen:
Siehe Anhang: <JRuby Voucher Bild.PNG>
 
Vorteile:
    - Alternative Programm Templates und Designvorlagen nutzbar (PDF, HTML usw.)
    - Sehr Leichtes Handling
    - Nicht länger Notwendig für das Erstellen eines Vouchers die Webseite zu öffnen
    - Firewallquellcode muss nicht verändert werden
    - Zugriff und Kommunikation ist durch den API Key gesichert
    - Nachteile könnten von "Bastlern" und JRuby Programmierern leicht ausgehoben werden
    - Die Library beschränkt sich nicht nur auf Vouchers und könnte weitere Aspekte abdecken (Monitoring u.ä.)

Nachteile:
    - Vouchers sind ungültig, falls die generierte Voucher Vorlage nicht abgespeichert wurde
    - Keine Möglichkeit bereits erstellte Voucher User-Kennungen erneut anzeigen zu lassen
    - Keine variable Auswahl der Gültigkeitsdauer generierter Vouchers
    - Übersicht über erstellte Vouchers und deren Gruppen erfolgt immer noch über die Webseite

____________________________________

Ich hoffe das hilft dir weiter!

Schöne Grüße
Oxy

124

German - Deutsch / Re: 2FA OTP vs. Console/SSH

« on: July 16, 2017, 06:49:40 pm »

Hey franco,

wie immer alles i.O. ... lag an mir...
Ich hatte aus Security Sicht dem Admin Account nur GUI Administrationsrechte gegeben und keinen Shell Zugriff.
Beim root hatte ich mich wahrscheinlich einfach nur vertippt.
Wie auch immer... Alles Supi jetzt!

Schönes Restwochenende,
Oxy

125

German - Deutsch / [GELÖST] 2FA OTP vs. Console/SSH

« on: July 16, 2017, 05:00:09 pm »

Hallo Leute,

folgendes Problem.
Ich hab 2FA für root und meinen Administrationsaccount "admin" eingestellt und alles funktionierte super.
Ich habe ebenfalls wie hier beschrieben den Fallback ausgeschalten: https://docs.opnsense.org/manual/two_factor.html#time-based-one-time-password

To prevent GUI lockout due to unavailable remote authentication server, the system has a default fallback to the local database. In case of 2FA for the GUI one needs to disable the fallback option to make sure no local user can gain access without 2FA.

Jetzt nach fast nem Monat muss ich tatsächlich mal wieder an die Konsole und wie man wahrscheinlich denken könnte ist durch das Abschalten der Local Database nun das Problem entstanden, dass ich mich nicht mehr auf die Konsole schalten kann. Aktiviere ich die Local Database wieder als Fallback ist doch aber der Vorteil des 2FA verschwunden oder? Kann man das irgendwie "schön" lösen?
In der Anleitung steht ja auch folgendes:

All services of OPNsense can be used with this 2FA solution, with the exception of console/ssh access.

Was nun?

Schöne Grüße
Oxy

126

German - Deutsch / Re: Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?

« on: July 12, 2017, 11:16:35 pm »

Denn Dienste wie Airplay, Spotify Connect, Chromcast etc. funktionieren in meinem aktuellen Setup nicht, weil die Netze eben physikalisch getrennt sind.

Hä?
Vielleicht steh ich gerade aufn Schlauch, aber VLANs und Netztrennungen macht man doch eben genau weil man dann über die Firewall Freischaltungen formulieren kann. Wenn Spotify von Netz A nach Netz B möchte schreibst du halt die Freischaltung dafür. Solange die Firewall eine Route in das Netz kennt, ist auch die Zustellung des Traffics kein Problem.

127

German - Deutsch / Re: 2FA OTP + Passwort Reihenfolge

« on: July 12, 2017, 11:07:27 pm »

Zumindest bei Keepass(2) kann man das ja scripten, in welcher Reihenfolge was eingetragen wird beim AutoType (oder ob man bspw. auch den OTP eintragen lassen möchte )

Verrückt... wusste nicht, dass man selbst das auch noch automatisieren kann. 
Bin da aber der selben Meinung wie nasq im Sinne von "Haben und Wissen".
Da ich leider nich viel weiß, liegt mein Wissen aufm Handy *hust* aber beides an den selben Ort abspeichern zu lassen, ist glaube wirklich nicht ganz sinnvoll, denn KeePass muss ja das Geheimnis für den OTP kennen, weiß daher also beide FA.

Wie wäre es mit einem Setting für den TOTP-Server, eine Checkbox in der man die Reihenfolge umkehren kann?

Viel besser. Dann kann ich bis zur Eingabe des 2FA mir doch noch nen Kaffee holen gehen ohne alles bereits Eingetragene über Bord werfen zu müssen

128

German - Deutsch / Re: Meine Erfahrung mit "blocklist.de"

« on: July 12, 2017, 10:57:10 pm »

Haha, Nein keine Sorge die ist ein Fels in der Brandung. Ungefähr die Hälfte meiner Umstellung ist jetzt durch und die Kiste ist nicht klein zu kriegen. Nächste Woche wird dann zum ersten mal etwas Verschlüsselung konfiguriert. Mal schauen wie se sich macht. Hehe 

129

German - Deutsch / Re: 2FA OTP + Passwort Reihenfolge

« on: July 11, 2017, 10:37:29 pm »

Fand ich persönlich auch extrem ungewöhnlich. Besonders, weil oft (wie du auch schon meintest) das ganze Prozedere auch besonders mit einem langen Passwort und einem Passwortmanager dann doch etwas länger dauert und ab und zu dann der OTP abläuft.
In eigentlich allen anderen "WebGUI Oberflächen" geht dann sonst ein zweites Fenster auf und erfragt den 2FA noch einmal extra separat ab.
Ob das nun Plesk ist oder Facebook/Amazon und und und ist ja egal.

Vielleicht gibt es da einen Security Aspekt den wir übersehen?

130

German - Deutsch / Re: Meine Erfahrung mit "blocklist.de"

« on: July 11, 2017, 10:28:24 pm »

Bei mir läuft alles supi. Aber meine Kiste is auch völlig oversized (vielleicht?)
Ich nutze die hier:
http://www.lannerinc.com/products/x86-network-appliances/x86-desktop-appliances/fw-7525

Bei mir rappelt gar nix, ganz im Gegenteil ich muss aufpassen, dass mir die Kiste nich vor lauter Langeweile absäuft. Haha 

Man muss aber sagen, dass ich vorher die Anzahl der Table Entries stark erhöht hatte bevor ich anfing die FireHol_Level1 Blacklist einzubauen. (http://iplists.firehol.org/?ipset=firehol_level1#)
Liste: (https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset)
Achtung an der Stelle: die FireHol_Level1 Blacklist blockt auch sämtliche private Adressen weg, also Vorsicht bei der Reihenfolge der Regeln.

Für die die es interessiert: Ich hab für die Änderung der Einstellung der Update Frequency ein Ticket aufgemacht. Würd mich freuen wenn da noch etwas Zuspruch kommt, damit die Überlegung auch tatsächlich irgendwann mal umgesetzt wird. Siehe: https://github.com/opnsense/core/issues/1703

131

German - Deutsch / Re: Erfolgreiche Installation auf PC Engines APU.2C4

« on: July 11, 2017, 10:09:56 pm »

Hey hey,

hmm.. ganz sicher das du bei PuTTY unter "Serial" den richtigen COM Port eingetragen hast? 
Ansonsten schau mal das du die PuTTY Session startest und danach erst die APU mit dem Strom verbindest.
Mitten beim Booten die COM Verbindung starten hatte bei mir auch nicht geklappt, da wollte mir PuTTY auch keine Ausgabe anzeigen. (Vielleicht ises das ja schon)
Solange wie PuTTY dir keine Ausgabe anzeigt hat das auch noch nichts mit der eigentlichen Installation auf die SSD oder dem USB Stick zu tun. Wir wollen ja an dieser Stelle erst einmal nur eine Konsolenverbindung aufbauen.

Ich glaub zwar nicht, dass du so vertrottelt bist wie ich ( Haha  ) aber überprüfe mal ob du wirklich "115200" als Geschwindigkeit eingetragen hast und nicht etwa "11520". Ich will ja nich sagen, dass mir das passiert ist aber.... *pfeif* 

Viel Glück

P.S.: 1x kurzes Piepen ist (eigentlich überall?) für jedes Mainboard das Zeichen für "Keine Fehler - Alles OK"

132

German - Deutsch / Re: Erfolgreiche Installation auf PC Engines APU.2C4

« on: July 07, 2017, 11:16:35 pm »

Ich wüsste auch gern wieso, aber viele Leute (mich eingeschlossen) konnten mit Rufus keinen fähigen bootbaren Stick "bauen". Irgendwas klappt da nich. Mit der Linux VM hatte es sofort geklappt. :/
Is jetzt aber auch schon wieder ne weile her.

133

German - Deutsch / Re: Erfolgreiche Installation auf PC Engines APU.2C4

« on: July 06, 2017, 09:08:17 pm »

Ja das Nullmodem Kabel brauchst du auf jeden Fall.
Weiterhin..
- überprüfe ob du den richtigen COM Port erwischt hast in PuTTY
(kann man im Geräte Manager nachschauen).
- Der Speed muss zwingend 115200 sein.
- Außerdem solltest du wirklich (entgegen anderer Meinungen) versuchen einen usb2 (!) Stick zu verwenden.
- Nicht Rufus nehmen, sondern Linux VM mit "dd" zum Beschreiben des Sticks

Viele Stolpersteine sollten somit aus dem Weg geräumt sein.

134

German - Deutsch / Re: Meine Erfahrung mit "blocklist.de"

« on: July 06, 2017, 08:32:19 pm »

Hey hey,

sitzt du noch an der https://lists.blocklist.de/lists/all.txt ??
Ich hab die gerade mal bei mir hinzugefügt und hat auch erstaunlicher weise super funktioniert.
Ich hab sicherheitshalber vorher die config gespeichert und die Entries auf 1,5 Mille erhöht um sicher zu gehen.
Dann die Liste ausgetestet und die Regel springt ein sobald ich irgendeine IP anwähle.
Klappt bei mir also zu mindestens.

FireHol kannte ich noch gar nicht. Die is ja auch nicht schlecht, blockt jedoch auch private Subnetze was man vorher wissen muss. Das stand dort auf der Seite aber auch irgendwo, dass empfohlen wird diese Liste für "in das LAN" zeigende Verbindungen am WAN Interface einzustellen um eine Grundsicherung für Webserver zu erhalten.

Unglaublich spannendes Thema.

Schöne Grüße
Oxy

135

German - Deutsch / Re: [GELÖST] APU2C4 USB Tethering?

« on: June 29, 2017, 09:40:13 pm »

Genau. Ich würd so oder so generell davon abraten zu viel IN die Firewall reinzubauen.
Hatte ich auch letztens erst ein Gespräch mit jemanden drüber gehabt.
Man kann glücklicherweise sehr sehr billig veraltete schlechte WLAN Router durch OpenWRT in fantastische AP umwandeln.
Für einen tollen LTE Router gibt es sicher bessere Installationsmöglichkeiten für die OPNsense als mit ner doofen UMTS Karte in der APU.
Glaub mir du willst das nicht troubleshooten müssen.

Schöne Grüße und viel Erfolg
Oxy