Messages

BTW: Muss ich für die VLANs auf der Firewall auch noch Routen anlegen ?
Nehmen wir an, die Firewall an sich befindet sich im netz 192.168.100.0/24 (VLAN 100), muss ich dann für Anfragen aus dem Netz 192.168.200.0/24 (VLAN 200) eine Route anlegen ?
Danke schonmal.
Grüße
CS

Und noch eine Frage:

Aho-Coharsick oder Hyperscan ? Was ist der Unterschied und was macht zum Beispiel auf einer APU mehr Sinn ?
Gruß
CS

Hi,
"COUTRYNAME not" does the reverse. For example if ou choose "china not" your IPS will block everything except traffic going to and coming from china. I just selected the countries that most attacks originate from. According to symantec and other snakeoil-companies, this is russia, china and the greater trump-reich ;-) and some more... For testing purpose I selected russia and tried to surf to vkontakte which was succesfully blocked. Don't forget to click update & download rules after setting up your configuration. Otherwise your Geo-Block won't work.
Hope this helps.
Best regards,
CS

Hallo zusammen,
wir haben eine Deciso "OPNsense Quad Core Gen3 rack appliance OPN19002R" Firewall im EInsatz und zur Zeit kämpfe ich mit der Verbindung zwischen Switch (switchport mode trunk, dynamsciher port-channel) und der Firewall selbst. Solange ich keine VLANs nutze komme ich auch bis zur FW und ins Web durch. Sobald ich einen Port explizit einem VLAN zuweise, komme ich nicht mehr durch.

Auf Seite der Firewall habe ich ein LAGG mit LACP definiert in dem ich zwei Ethernet-Interfaces bündel. Die VLANs habe ich ebenfalls angelegt und diesen dann eine Virtuelle-IP zugewiesen.  Der Trunk zwischen den Switchen funktioniert. Sprich ich komme mit meinen Switchports (switchport mode access, switchport access vlan XY) auch über deren Trunk auf das jeweils andere. Die gleiche Trunk-Konfiguration verwende ich auch zwischen dem Uplink-Switch und der Firewall. Allerdings gehen keine Pakete durch. Interfaces auf der FW kann ich von den VLAN-Ports auf den Switchen aus folglich auch nicht pingen. Die Virtuellen-IPs sind als CARP VIPs angelegt, da die Firewall HA läuft. Das Routing wird dementsprechend auch auf der Firewall und nicht von den Switches erledigt.
Daher verstehe ich nicht mehr so ganz woran es liegen könnte...

Da ich so langsam am verzweifeln bin, warum da nix über den Trunk geht habe ich mich nochmal auf der Firewall umgeschaut und unter "Interface/Settings" den Punkt "VLAN Hardware Filtering" entdeckt. Dieser steht bei mir auf "Enable VLAN Hardware Filtering".
Mal abgesehen davon, dass ich nicht ganz erstehe was das heissen soll... Kann mir vielleicht jemand sagen, ob das so richtig ist ?

Viele Grüße
CS

Das was ich zum Beispiel immer sehe ist:

SURICATA STREAM excessive retransmissions (Akamai)
SURICATA TLS invalid record/traffic (Google)
SURICATA Applayer Wrong direction first Data (Amazon)

Klar, ich kann jetzt die Regel disablen, aber ist das der richtige Weg ?

Gruß
CS

Yes,
would you please post your Wifi-Interface-Settings ? I'm also very curios about how you managed to do this, since I'm also experiencing poor Performance on WIfi...
Thanks in advance,
Regards
CS

Nope,
I think he means this one: https://docs.opnsense.org/manual/how-tos/ips-geoip.html
Regards,
CS

Hi,
leider habe ich noch nicht viel Erfahrung mit Suricata. Sprich, bis auf die SSL-Blacklist Rules und Feodo habe ich noch nichts auf "drop" gestellt. Die OPNsense an sich läuft aber im IPS-Mode. Gibt es irgendwo Best-Practice-Ansätze, oder kann mir jemand vielleicht ein paar Tipps geben, wie ich das IPS am sinnvollsten einrichte ? Es sind ja z.T. hunderte Regeln und ich kann mir kaum vorstellen, dass man jede einzelne manuell konfiguriert.

Des Weiteren ist mir aufgefallen, das mir in den Logs (alerts) sehr oft "excessive retransmissions" angezeigt wird. Wenn ich mir dann die Quelle anschaue und feststelle, dass es sowas wie Heise ist, dann gehe ich mal stark davon aus, dass es sich um einen zu vernachlässigenden Alert handelt. Kann mir vielleicht jemand sagen, wie ich diese Meldung z.B. whiteliste ? Das steht ja sonst dauernd in den Logs und die wichtigen Dinge gegen unter...

Gibt es ansonsten irgendwie eine Möglichkeit das IPS zu trainieren ? Wie kann ich zum Beispiel einen Scan den ich auf das WAN mache mit dem IPS/IDS testen und einstellen ?

Gruß
Cs

Danke schonmal.
CS

Hi,
hat sich dein Suricata Problem gelöst ?
Ich habe die OpNsense gerade erst eingerichtet und Suricata im IPS-Modus aktiviert, ohne groß was zu konfigurieren.
Leider tue ich mich noch ziemlich schwer damit Suricata richtig einzustellen. Kannst du mir evtll. ein paar Tipps geben, wie du vorgegangen bist ? ich glaube das würde mir helfen.
Ich habe Suricata übrigens auch nur auf dem WAN laufen. Aber ohne WAN seitiges VLAN tagging. Performance-Einbußen hatte ich bisher auch noch keine. Aber bis auf die Feodo und SSL-Blacklists habe ich auch noch nix laufen...
Grüße
CS

Hi,
in der OenVPN Server-Konfiguration habe ich beim Einrichten einen Punkt gesehen, über den du den Clients erlaubst direkt miteinander zu kommunikzieren. Damit sollte es gehen. Kann dir leider nicht genau sagen wo das stand, aber unter "Server". Ich sitze leider gerade vor keiner OPNsense...
LG CS

Hi,
also das LAGG konnte ich ganz einfach anlegen, die VLANs ebenso. Diesen habe ich dann als Parent-interface das LAGG zugewiesen. Ein Verständnisproblem habe ich allerdings noch mit den VHIDs und welche IP ich dem eigentlichen LAGG nun zuweisen muss. Für die einzelnen VLANs habe ich bisher noch keine Möglichkeit gesehen ihnen eine IPv4 zuzuweisen.
Oder habe ich was übersehen ?
Hat noch jemand einen Tipp ?
Grüße
cs

Hallo zusammen.
Vielleicht kann mir jemand kurz Rückmeldung geben, ob mein Vorhaben so zu realisieren ist, oder ob ich einen Denkfehler habe:

Ich würde gerne einen HA-Cluster zusammenbauen. LAN-seitig sollen jeweils 2 NICs zu einem Trunk zusammengefasst werden, auf dem dann die 4 VLANs aufgebaut werden sollen.

Liege ich mit der Annahme richtig, dass ich für jedes VLAN eine VID brauche ?
Also gewissermaßen so:

NIC1+NIC2 --> LAGG-Interface --> VLANs (mit jeweils einer VID)

Falls schon jemand Erfahrungen mit diesem Setup gesammelt hat, wäre es super, wenn er mir ein paar Tipps geben könnte.

Grüße
CS

Hey,
eine kurze Frage zu deiner PPTP-Einwahl:
Verbindest du dich mit deinem WAN-Interface direkt mit deinem Provider, ohne das noch ein Modem o.ä. dazwischen ist ?
Das würde mich brennend interessieren. Ich meine einmal gelesen zu haben, dass man bei VDSL direkt, ohne Modem zum ISP connecten kann, sofern man das richtige VLAN auf das WAN tagged. Kannst du das bestätigen ?
Grüße
CS

Hi,
ich bin neu hier und arbeite gerade daran unsere beiden neuen OPNsense Boxen einzurichten.
Ich würde gerne CARP nutzen, allerdings, wenn möglich mit nur einer WAN-IP. Im Pfsense Forum habe ich mal gelesen, dass dies prinzipiell möglich sein soll, eine konkrete Anleitung habe ich allerdings nicht gefunden.
Hat hier schon jemand Erfahrungen damit sammeln können, oder ist das eher etwas von dem abgeraten wird ?
Wir hätten zur Not drei public IPs, aber die für HA zu verballern finde ich irgendwie nicht so toll...
Für Tipps und Anregungen bin ich jederzeit offen und dankbar.
Viele Grüße
cs