Messages

241

German - Deutsch / Re: Dringend - ClamAV Update auf Server hinter OPNsense geht nicht mehr

« on: February 06, 2017, 12:20:13 pm »

vielen Dank für Deine Rückmeldung. Da ich Anfänger bin, brauche ich etwas Unterstützung. Was genau ist Policy Routing, bzw. Firewall-Regeln mit Gateway?

Im Anhang sind ein paar Block Regeln von mir angehangen.
Diese könnte ich jetzt weiter einschränken auf bestimme Gateways.
Im meinem Fall ist das nicht der Fall.

Die Theorie dazu aus der pfSense Doku: https://doc.pfsense.org/index.php/What_is_policy_routing
Die Praxis bei Multi-WAN dazu aus der OPNsense Doku: https://docs.opnsense.org/manual/how-tos/multiwan.html

Hoffe das bringt dich und Franco weiter

242

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 12:01:34 pm »

Hey stefan21,

(Weiß gerade nicht ob das hier schon gesagt wurde oder in einem anderen Thread) aber du kannst einfach ans Ende deines Regelwerks ein DENY ANY ANY setzen und das Loggen dieser Regel aktivieren. Schaust du dann bei "Log Files" beim "Firewall" Reiter nach und klickst dort auf die Kreuze kommen Meldungen hoch, die sagen welche Regel angewendet wurde. Steht da "DENY ANY ANY" weißt du, welche Protokolle durch die letzte Regel weggehascht werden.
Aber das hast du sicher eh schon gemerkt.

Ich glaube heutzutage hat das wirklich nichts mehr mit "dummies" zu tun.
Die Vielfalt der Möglichkeiten werden größer. Bezogen auf die Security, könnte man für jeden kleinen Aspekt zusätzlich zur eigentlichen Funktion noch ein Buch raus bringen.
Wer will die denn alle lesen?

Schöne Grüße,
Oxy

243

German - Deutsch / Re: Anfängerfragen

« on: February 06, 2017, 10:54:01 am »

Meine Frau hat eine Aversion gegen Computakrams der in der Wohnung steht, daher hängt meine OPNSense unter dem Schuhschrank im Flur. 

Haha!
Bei mir ist der Access Point zwischen einer Tür, der Wand und einem Wohnzimmerschrank versteckt.
Nun die heikle Frage, warum kommt das Signal nur ein paar Meter weit?... hmm..
Will ich an meinen "Computakrams" ran, muss ich erst den Wohnzimmerschrank wegschieben....

244

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 10:48:09 am »

So eine Gebrauchsanleitung fehlt leider wirklich für den Good Practice den wirklich der überwiegende Teil der OPNsense Nutzer zu Hause hat (vielleicht?). Wahrscheinlich sowas ähnliches wie hier:

[Internet] - VDSL2 Modem - [WAN] OPNsense
                                                          |             |
                                                      [LAN]     [WLAN]
                                                          |                |
                                        Clients mit oder         Access Point
                                        ohne VLAN Switch

Ich meine man findet sich schon zurecht irgendwie. Aber wenn man mit keinerlei Vorkenntnissen vorbei kommt,
kann ich mir vorstellen, dass das Übermaß an Optionen überwältigend sein kann.

Schöne Grüße,
Oxy

245

German - Deutsch / Re: Captive Portal User Privileges

« on: February 06, 2017, 09:12:57 am »

[...]aber etwas anders als vorher: pro CP Zone wird es dann eine Select-Box geben mit Gruppen die sich einwählen dürfen.

Perfekt! Das klingt richtig gut so mit den "Gruppen". Bin gespannt!

Ähnliches haben wir auch für den Proxy und VPN vor.

Für den Proxy hab ich gerade keinen richtigen Anwendungsfall im Kopf, aber "VPN-Gruppen" finde ich auch sehr gut und hätte ich dann in nächster Zeit eh ebenfalls gebraucht. Passt also alles!

Schöne Grüße,
Oxy

246

German - Deutsch / Re: Nano-Images und Update auf OPNsense 17.1. Besser eine Neuinstallation machen?

« on: February 03, 2017, 07:31:35 pm »

Finde ich auch sehr interessant. Das würde es für mich persönlich "sympathischer" machen bei einer neuen Firmware, tatsächlich auch eine Neuinstallation in Erwägung zu ziehen ohne viel Aufwand.

247

German - Deutsch / Re: [SOLVED] FTP Proxy How-To mit Filezilla aus LAN nicht möglich

« on: February 03, 2017, 12:43:28 pm »

Klassiker.
Vielleicht steckt unter der Haube von OPNsense ja doch kein FreeBSD sondern Windows?

Toll das es jetzt klappt!

Schöne Grüße
Oxy

248

German - Deutsch / Re: [GELÖST] Offener Port TCP 1720 | NetMeeting?

« on: February 03, 2017, 12:37:57 pm »

[...]der durch NAT, reverse-NAT, Proxy, UPNP oder ähnliches offen gehalten wird. Wäre denkbar.

Das kann natürlich auch sein. Beim Googlen hatte ich auch vereinzelt Einträge über "UPNP" als "Problemquelle" gefunden. Hmm... scheint halt auch wirklich nur auf dem LAN Port zu laufen der Port.

249

German - Deutsch / Re: FTP Proxy How-To mit Filezilla aus LAN nicht möglich

« on: February 03, 2017, 12:28:05 pm »

Hallo,

Wolltest du einen FTP Server im Internet erreichen
oder wolltest einen FTP im lokalen Netz vom Internet aus erreichen?

Schöne Grüße
Oxy

EDIT: Was steht denn dort drinne bei dir? Also in: rc.conf ?
Soweit ich mich erinnere müsste das hier sein:
# cd /etc/
# cat rc.conf

_______________

Hast du das Plugin schon mal neuinstalliert?

250

German - Deutsch / Re: Offener Port TCP 1720 | NetMeeting?

« on: February 03, 2017, 11:25:35 am »

Welcher? Deinem PC? Der Sense? Bitte klarer.

Sorry! Gemeint war, die OPNsense mit "Kiste".
Genauer: Mein PC der im LAN Netz steht führt nmap auf das Managemant Lan Interface der OPNsense aus (welche mit dem LAN Netz als LAN Interface verbunden ist).

Inwiefern ist das relevant/schlimm?

Es ist eher nervig und ich war verwundert, weil ich es nicht nachvollziehen konnte. Ein richtiges Problem sollte daraus nicht entstehen, selbst wenn der Port auf dem WAN Interface offen wäre.
Grade getestet und auf der WLAN und WAN Seite ist der Port nicht "open".
Merkwürdig.

Aber wenn weder "sockstat -l46" noch "netstat -an" was zurückliefern auf 1720, halte ich das für ein false positive von nmap.

sockstat -l46 | grep 1720 -> Kein Ergebnis
netstat -an | grep 1720 -> Kein Ergebnis

Direkt auf der Kiste mal nachgeschaut was an Ports gehalten wird?

sudo less /etc/services
zeigte mir dort wo "1720" stehen sollte folgendes:
l2tp            1701/udp   #Layer 2 Tunnelling Protocol
pptp            1723/tcp   #Point-to-point tunnelling protocol

Scheinst wohl recht zu haben mit dem False Positive. Merkwürdig ist es trotzdem, weil ich beim herumsuchen herausfand, das dieser Port wohl des öfteren mal offen wäre durch Firmware Bugs.

Schöne Grüße
Oxy

251

German - Deutsch / [GELÖST] Offener Port TCP 1720 | NetMeeting?

« on: February 03, 2017, 09:57:12 am »

Hallo zusammen,

ich mal wieder. Ich habe grade mal ein "nmap -T4 -A -v <LAN-Int-IP>" auf meine Kiste abgelassen,
weil ich der Meinung war endlich fertig zu sein mit meinem LAN Ruleset.
Nun fiel mir auf das dort ein offener (nicht gefiltert oder closed) Port 1720 offen war.

Was habe ich versucht?
Da ich außer SSH, HTTP/HTTPS und ICMP an der Stelle nichts anderes brauche und erlaube an offenen Ports,
legte ich diese Regel an:
BLOCK IPv4 TCP   <LAN Netz> *   <LAN Interface IP>     1720   *   Block Port 1720    

Ergebnis:
Wie ihr euch sicher vorstellen könnt, brachte das überhaupt gar nichts. --> Port immer noch offen.
Meine Frage nun: Warum ist dieser Port überhaupt offen und warum lässt er sich nicht schließen? :-/

Troubleshoot:
Nachgeschaut hatte ich hier: http://www.speedguide.net/port.php?port=1720
Doch was hat OPNsense mit "NetMeeting" am Hut?

Ein # netstat  | grep 1720
brachte mir auch keine Erleuchtung ein. Als Antwort kam da kein aktiver Prozess zurück.
Vom Rechner der per nmap scannte konnte ich ebenfalls per telnet <LAN Interface IP> 1720 erfolgreich testen.
> os-upnp   1.1   31.0KiB   Universal Plug and Play Service
ist ebenfalls nicht installiert.

Was übersehe ich hier offensichtlich?

Schöne Grüße
Oxy

252

German - Deutsch / Re: Nano-Images und Update auf OPNsense 17.1. Besser eine Neuinstallation machen?

« on: February 02, 2017, 03:02:29 pm »

Wenn ich es noch richtig zusammen bekomme musste man irgendeine Option auswählen auf der Console und dann '17.1' eingeben für den Softwarezweig.

Ist das so korrekt??

Also ich hab das Upgrade per SSH gemacht und nebenbei  mit KVM zugeschaut. Die Kiste is dabei 2 mal neu gestartet. Angeworfen hatte ich es über die Root Konsole, da dann wie in den "Patchnotes" beschrieben "12" gedrückt und dann bei der Abfrage ob ob man (17.1/Y/N) eintippen möchte dann 17.1 eingetippt und dann gings ab.

253

16.7 Legacy Series / Re: NRPE 2.15 - Socket Timeout After 10 Seconds

« on: February 01, 2017, 07:45:04 pm »

Hey hey,

aaahhh thats why. Thanks for clarifying it

Cheers,
Oxy

254

16.7 Legacy Series / Re: NRPE 2.15 - Socket Timeout After 10 Seconds

« on: February 01, 2017, 12:33:44 pm »

Hey franco,

After upgrading to 17.1 the encrypted version of nrpe is gone.
i used the command # /usr/local/sbin/nrpe2
but the line: SSL/TLS Available: Anonymous DH Mode, OpenSSL 0.9.6 or higher required
is not there anylonger. :-/ Could u implement that again please?

Cheers,
Oxy

255

German - Deutsch / Re: Neuinstallation 17.1 - Backup auf neuer Hardware einspielen?

« on: February 01, 2017, 09:39:07 am »

hey hey,

mSATA ist nur einer von vielen Formfaktoren, siehe: http://www.snia.org/forums/sssi/knowledge/formfactors
Soweit ich weiß also eine "Generation" vor dem bekannten M.2 Formfaktor.
Kurz: mSATA SSD = "normale" SSD bloß kleiner

Kannst also das Serial Image nehmen.

Schöne Grüße,
Oxy