Topics

Hallo.
Weiß zufällig jemand, ob man sich Probleme damit einhandelt eine Konfiguration von einem HA-Päärchen auf das andere zu kopieren, dann seperat hochfahren und die IPs anpassen, einhandelt ?
Wenn ich mir die XML-Config so anschaue würde ich da aktuell keine Schwierigkeiten erwarten, aber man weiß ja nie...
MFG

[ntpdate -q 0.de.pool.ntp.org]

Nur kurz zur Info falls das Problem mal bei jemand anderem auftritt:

Ich hatte gestern im DHCP-Lease-Menü die Meldung "communication-interrupted", obwohl der HA-Status des Clusters an sich vollkommen ok war und auch ein Failover sauber funktioniert hat. Lediglich beim DHCP erschien die zuvor genannte Meldung.
Darüber hinaus hat der DHCP-Server des Backup-Nodes die IP-Adressen vergeben, obwohl der auf dem Master auch gelaufen ist.
Nach einer Weile habe ich dann festgestellt, dass der von uns verwendete NTP-Pool nicht mehr geantowortet hat und es eine Time-Drift zwischen beiden Nodes gab, die das DHCP-Problem verursacht hat. Um das Problem zu beheben musste ich folgendes tun:

1) NTP-Pool unter "Services/Network Time" korrigieren

2) NTP-Service stoppen

3) per SSH auf die Nodes gehen und einmal mit...
 
   ntpdate -q 0.de.pool.ntp.org

manuell gegen einen funktionierenden NTP-Pool syncen.

4) Ein Check mit "date" ob die Uhrzeit wieder passt und...

5) ...dann den NTP-Service auf den Nodes wieder starten.

Danach ist alles wieder korrekt gelaufen. Eigentlich logisch, aber da alles andere scheinbar sauber lief, bin ich erst recht spät auf den NTP gekommen. Aber wahrscheinlich wäre mir nach ner Zeit sonst auch der Cluster auseinander geflogen...

MFG
Wayne

Hi,
mich würde interessieren, ob es schon jemand geschafft hat die folgende Blocklist, ähnlich der DROP & EDROP List von Spamhaus als Alias anzulegen, ohne das die OPNSense dabei "hops" geht:

https://lists.blocklist.de/lists/all.txt

Natürlich kann ich den Alias an sich anlegen, wenn ich mir später die Liste über PFTables anschauen will, war's das aber auch schon. Werden die Einträge in eine Datenbank geschrieben und muss es hinterher nur zum Anzeigen wieder da raus geladen werden? Das würde erklären, warum das so lange dauert. Mich wundert, dass OPNSense damit Probleme hat. Wenn ich z.B. ein IPSet unter Linux anlege und das Ganze dann anzeige geht das alles sogar relativ flott.

Wie auch immer: Mich würde interessieren, ob schon jemand Erfahrungen damit hat und vielleicht weiß, ob das nur ein Anzeige-Problem der GUI ist, oder ob OPNsense an sich Probleme mit einer ca. 40000 Einträge starken IP-Tabelle hat.

So oder so werde ich das jetzt mal ein paar Tage testen und dann meine Erfahrungen teilen. Über Tipps u.ä. freue ich mich natürlich dennoch ;-)

MFG
Wayne

Hi,
I would like to know if anybody in this forum deleted the root user and if this has any impact on the firewall funcionality.
If so, is there a possibility to simply lock root for the webgui. I don't want to use the standard user for administration...
Regards,
Wayne

Hey,
ist vielleicht eine verwirrende Frage, aber ich bin mir gerade nicht mehr 100% sicher, ob mein HA-Setup ganz korrekt ist. Zwar funktionieren die Failover und er switched sauber hin und her, aber mein Backup-Node meldet immer "The backup firewall ist accessible or configured". Laut der Erläuterung in den Settings von HA ist dies korrekt. Für den Backup-Node soll man ja keinen User und Passwort eintragen. Um ganz sicher zu sein, wie das bei euch aussieht wollte ich aber nochmal nachhören.
Viele Grüße
CS

Hi,

since we will have another buro in near future, we need another HA-Cluster. Therefore I copied the configs from the old nodes to the new nodes. Now I'm experiencing a weird behaviour: The Backup-Node is always MASTER and the designated Master is in BACKUP mode. I already checked the skew settings, the Interface numeration in the xml-configs and so on, but i haven't found the issue yet.
Any ideas ?

Regards,
CS

Hallo,
ich möchte den Zugriff für ein bestimmtes Netz so einschränken, dass dieses nur ins Netz zugreifen darf, nicht aber in andere VLANs oder Subnets. Hat jemand eine Idee wie ich das am schlanksten umsetze ?
Meine Idee wäre sonst, einen Alias anzulegen, der alle VLANs und Subnets enthält die ich blocken möchte und diese dann in die jeweilige Policy zu laden. Das scheint mir aber ein wenig umständlich bzw. von hinten durch den Kopf ins Auge...
Grüße
CS

Hi,
hat es schon jemand geschafft, die Fritzbox vor der OPNsense kommplett zu ersetzen und direkt von OPNsense zu 1und1 zu connecten, sodass die public IP direkt auf's WAN gebucht wird ? Wenn ja, kann mir da jemand ein paar Tipps geben, welches VLAN ich auf's WAN taggen muss und wie ich das ans Laufen bekomme ?
Viele Grüße
CS

Hallo zusammen,
wir haben eine Deciso "OPNsense Quad Core Gen3 rack appliance OPN19002R" Firewall im EInsatz und zur Zeit kämpfe ich mit der Verbindung zwischen Switch (switchport mode trunk, dynamsciher port-channel) und der Firewall selbst. Solange ich keine VLANs nutze komme ich auch bis zur FW und ins Web durch. Sobald ich einen Port explizit einem VLAN zuweise, komme ich nicht mehr durch.

Auf Seite der Firewall habe ich ein LAGG mit LACP definiert in dem ich zwei Ethernet-Interfaces bündel. Die VLANs habe ich ebenfalls angelegt und diesen dann eine Virtuelle-IP zugewiesen.  Der Trunk zwischen den Switchen funktioniert. Sprich ich komme mit meinen Switchports (switchport mode access, switchport access vlan XY) auch über deren Trunk auf das jeweils andere. Die gleiche Trunk-Konfiguration verwende ich auch zwischen dem Uplink-Switch und der Firewall. Allerdings gehen keine Pakete durch. Interfaces auf der FW kann ich von den VLAN-Ports auf den Switchen aus folglich auch nicht pingen. Die Virtuellen-IPs sind als CARP VIPs angelegt, da die Firewall HA läuft. Das Routing wird dementsprechend auch auf der Firewall und nicht von den Switches erledigt.
Daher verstehe ich nicht mehr so ganz woran es liegen könnte...

Da ich so langsam am verzweifeln bin, warum da nix über den Trunk geht habe ich mich nochmal auf der Firewall umgeschaut und unter "Interface/Settings" den Punkt "VLAN Hardware Filtering" entdeckt. Dieser steht bei mir auf "Enable VLAN Hardware Filtering".
Mal abgesehen davon, dass ich nicht ganz erstehe was das heissen soll... Kann mir vielleicht jemand sagen, ob das so richtig ist ?

Viele Grüße
CS

Hi,
leider habe ich noch nicht viel Erfahrung mit Suricata. Sprich, bis auf die SSL-Blacklist Rules und Feodo habe ich noch nichts auf "drop" gestellt. Die OPNsense an sich läuft aber im IPS-Mode. Gibt es irgendwo Best-Practice-Ansätze, oder kann mir jemand vielleicht ein paar Tipps geben, wie ich das IPS am sinnvollsten einrichte ? Es sind ja z.T. hunderte Regeln und ich kann mir kaum vorstellen, dass man jede einzelne manuell konfiguriert.

Des Weiteren ist mir aufgefallen, das mir in den Logs (alerts) sehr oft "excessive retransmissions" angezeigt wird. Wenn ich mir dann die Quelle anschaue und feststelle, dass es sowas wie Heise ist, dann gehe ich mal stark davon aus, dass es sich um einen zu vernachlässigenden Alert handelt. Kann mir vielleicht jemand sagen, wie ich diese Meldung z.B. whiteliste ? Das steht ja sonst dauernd in den Logs und die wichtigen Dinge gegen unter...

Gibt es ansonsten irgendwie eine Möglichkeit das IPS zu trainieren ? Wie kann ich zum Beispiel einen Scan den ich auf das WAN mache mit dem IPS/IDS testen und einstellen ?

Gruß
Cs

Danke schonmal.
CS

Hallo zusammen.
Vielleicht kann mir jemand kurz Rückmeldung geben, ob mein Vorhaben so zu realisieren ist, oder ob ich einen Denkfehler habe:

Ich würde gerne einen HA-Cluster zusammenbauen. LAN-seitig sollen jeweils 2 NICs zu einem Trunk zusammengefasst werden, auf dem dann die 4 VLANs aufgebaut werden sollen.

Liege ich mit der Annahme richtig, dass ich für jedes VLAN eine VID brauche ?
Also gewissermaßen so:

NIC1+NIC2 --> LAGG-Interface --> VLANs (mit jeweils einer VID)

Falls schon jemand Erfahrungen mit diesem Setup gesammelt hat, wäre es super, wenn er mir ein paar Tipps geben könnte.

Grüße
CS

Hi,
ich bin neu hier und arbeite gerade daran unsere beiden neuen OPNsense Boxen einzurichten.
Ich würde gerne CARP nutzen, allerdings, wenn möglich mit nur einer WAN-IP. Im Pfsense Forum habe ich mal gelesen, dass dies prinzipiell möglich sein soll, eine konkrete Anleitung habe ich allerdings nicht gefunden.
Hat hier schon jemand Erfahrungen damit sammeln können, oder ist das eher etwas von dem abgeraten wird ?
Wir hätten zur Not drei public IPs, aber die für HA zu verballern finde ich irgendwie nicht so toll...
Für Tipps und Anregungen bin ich jederzeit offen und dankbar.
Viele Grüße
cs