Messages

181

19.1 Legacy Series / Re: Firewall Groups: when are they evaluated?

« on: June 23, 2019, 05:56:38 pm »

Hi,

1.   Floating Rules
2.   Interface Group Rules
3.   Interface Rules

br

182

German - Deutsch / Re: Firewall / Rules / richtiges Interface

« on: June 20, 2019, 07:35:39 pm »

Hi,

ein theoretisch: wenn es kein eigenes Subnetz wäre ... ? Dann wiederum auf "LAN" die Regeln?

Dein pyhsisches Interface sollte LAN zugeordnet sein, darauf die VLANs. Auf das LAN Interface sollte jetzt gar keine IP zugeordnet sein, nur auf VLANs.
Aber ja, wenn du keine VLANs angelegt hast dann direkt auf das Interface LAN.

VPN:
Was willst du eigentlich erreichen, ein Site2Site VPN oder "Remote worker"?

Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)

Ja, mehr brauchst du auch nicht für Remote worker. Du gibts in der VPN Server Konfig ein Tunnel Netzwerk an, aus dieser Adressrange bekommen die VPN Clients die IP Adresse, über den Rule Eintrag inder Firewall kannst du steuern wo die hinkommen.

lg

183

German - Deutsch / Re: Firewall / Rules / richtiges Interface

« on: June 20, 2019, 03:57:35 pm »

Hi, so ganz verstehe ich noch nicht auf was du hinaus willst, aber ich versuche es:

Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?

Sofern nicht im gleichen Subnetz kommt der Traffic in die Firewall am virtuellen Interface des VLAN200 an (deshalb incoming, da der Traffic an diesem Interface ankommt).

- wenn der Laptop auf die WebGUI der Opnsense soll?

Sofern du die Sense so konfiguriert hast das die GUI auch am VLAN200 Interface lauscht, wie oben. Der Traffic kommt am virtuellen Interface an, hast du eine entsprechende rule für Port 443 auf die IP der Sense öffnet sich die GUI.

Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:

Um OpenVPN für remote worker zu nutzen benötigst du keine Zuweisung unter "Interfaces". Es genügt unter VPN->Server den entsprechenden Server zu konfigurieren schon hast du unter Rules die Möglichkeit Regeln zu erstellen wo die Clients des VPN Netzes hindürfen.

lg

184

19.1 Legacy Series / Re: (SOLVED) 100% CPU load since last update

« on: June 10, 2019, 12:24:04 pm »

I've activated the IDS for additional interfaces after update, and this increased the CPU load.

br

185

19.1 Legacy Series / Re: 100% CPU load since last update

« on: June 09, 2019, 08:30:46 pm »

Hi,

I rebooted the firewall, same issue. It seems it was the IDS, I've activated new interfaces and this it seems was the issue.

br

186

19.1 Legacy Series / (SOLVED) 100% CPU load since last update

« on: June 09, 2019, 03:49:58 pm »

Hi,

since the last update to

OPNsense 19.1.9-amd64
FreeBSD 11.2-RELEASE-p10-HBSD
OpenSSL 1.0.2s 28 May 2019

I have here on my APU2 100% CPU load

From the activity log:
85% CPU3 /usr/local/sbin/filterlog -i pflog0 -p /var/run/filterlog.pid
70% CPU1 /usr/local/sbin/syslogd -s -c -c -P /var/run/syslog.pid -l /var/dhcpd/var/run/log -l /var/unbound/var/run/log -f /var/etc/syslog

Output from top -SH

81823 root        103    0  1033M  3356K CPU2    2  16:32  97.89% filterlog
84360 root         98    0  1033M  2960K CPU1    1  13:52  82.71% syslogd
   11 root        155 ki31     0K    64K CPU0    0  12:30  68.81% idle{idle: cp
   11 root        155 ki31     0K    64K RUN     3  10:47  54.41% idle{idle: cp
   11 root        155 ki31     0K    64K RUN     1   5:33  28.86% idle{idle: cp
   11 root        155 ki31     0K    64K RUN     2   5:16  17.27% idle{idle: cp

Any ideas to analyse the issue?

br

187

German - Deutsch / Re: Unbound DNS - Keine DNS Abfragen möglich

« on: May 12, 2019, 06:01:54 pm »

Hi,

Unter System->Settings->General habe ich zB gar keine eingetragen.

In unbound unter Access list, hast du 127.0.0.1 eingetragen?

fg

188

19.1 Legacy Series / Re: a VLAN Per SSID

« on: May 02, 2019, 03:41:19 pm »

@all thanks for all feedbacks,
so with the opnsense and wle200nx it is not possible!

It is possible, but definitely recommended to use an external Access point.
You are more flexible and the performance is better

Br

189

19.1 Legacy Series / Re: a VLAN Per SSID

« on: May 01, 2019, 02:53:17 pm »

Hi,

it is possible to define a SSID with a give VLAN and IP Range.

Yes, you need a VLAN capable Access Point like Ubiquiti or TP-Link Omada Series. If you have a switch inbetween the switch needs also to be VLAN capable.

br

190

German - Deutsch / Re: Werbe-Blocker per Unbound DNS – manches kommt trotzdem durch?

« on: April 29, 2019, 06:29:36 am »

Kann so einfach sein ;-)

191

German - Deutsch / Re: Werbe-Blocker per Unbound DNS – manches kommt trotzdem durch?

« on: April 28, 2019, 08:07:58 pm »

Hi,

Danke für den Link.

Eine Frage, wie geht ihr mit einem Neustart der Sense um?
Bei mir wird die Datei in var/unbound/ nach jedem Neustart gelöscht und unbound startet dann nicht.
Danach muss die Datei manuell neu erzeugt werden.

Wie geht ihr damit um?

lg

192

German - Deutsch / Re: unbound OPNsense - Primäre IP festlegen?

« on: April 26, 2019, 07:15:05 pm »

Ich denke das könntest du per custom options mit unbound views lösen falls ich deine Frage richtig verstanden habe.

Als Beispiel, mit der Annahme deine IP Range am externen Standort ist 192.168.100.0/24 und opnsense auf dem Interface hat die IP 192.168.100.254

Code: [Select]

#Access control for remote IP Range
access-control-view: 192.168.100.0/24 extview

#View to return for external range only defined ip for firewall, assumed 192.168.100.254 is the IP of opnsense
view:
name: "extview"
local-zone: "ext-standort.local" transparent
local-data: "opnsense.ext-standort.local A 192.168.100.254"
local-data: "opnsense A 192.168.100.254"
#view-first Unbound will try to use the view’s local-zone tree, and if there is no match it will search the global tree.
view-first: yes

Probier das mal.

Du kannst dann natürlich für jede IP-Range eine eigene View die jeweils anders antwortet basteln

193

German - Deutsch / Re: Freigabe Synology Ports in opnSense

« on: April 22, 2019, 07:03:15 pm »

Ich denke was dir micneu mitteilen wollte war, wenn du das VPN auf der OpnSense terminierst, bist du viel flexibler und kannst den Zugriff genau steuern, egal wohin in deinem Netz.

fg

194

19.1 Legacy Series / Re: Aliasing completely broken for me recently

« on: April 21, 2019, 08:45:10 pm »

Hi,

I've applied the patches in the following order and now it seems to work:

opnsense-patch 50c25ea
reboot
opnsense-patch ea2f217cf
reboot

br

195

19.1 Legacy Series / Re: Aliasing completely broken for me recently

« on: April 21, 2019, 12:33:27 pm »

Am I the only one ?

Definitely not, same issue here.

New Aliases, no matter if created manually or downloaded, are empty. For old ones, entries in pftables available.

Br