Messages

106

Zenarmor (Sensei) / Re: Sensei on OPNsense - Application based filtering

« on: November 15, 2018, 03:56:00 pm »

I Installed sensei. When I was on the dashboard to configure the protected interfaces only my 2 vpn interfaces show up. Not WAN, not LAN, nor any other interface on my firewall.

current version as of writing (0.7.0-beta1)

107

German - Deutsch / Re: Beginner Fragen: 2FA, root...

« on: October 01, 2018, 10:39:03 am »

Ich habe meinen Rootuser komplett deaktiviert.
Ein dedizierter Adminuser hat volle Rechte und auf der Konsole wird dann sudo benutzt.

Unter Einstellungen->Verwaltung findest du eine Option bei der du einstellen kannst welcher Authentifikationsdienst verwendet werden soll. Dort NUR Lokal+OTP auswählen. Dann sollte es laufen.

108

German - Deutsch / FreeRADIUS LDAP - Nutzer müssen in Gruppe sein

« on: September 28, 2018, 12:50:30 am »

Ich habe einen LDAP Server auf einer Synology DiskStation und habe OPNsense schon erfolgreich damit getestet.
Jetzt wollte ich meinen FreeRADIUS umstellen und auf Standardeinstellungen klappt es.

Wie aber konfiguriere ich jetzt, dass nur User einer bestimmten Gruppe gefunden werden?

So ist der Standard-UserFilter:

Code: [Select]

(uid=%{%{Stripped-User-Name}:-%{User-Name}})

Und so hab ich es vergeblich versucht:

Code: [Select]

(uid=%{%{Stripped-User-Name}:-%{User-Name}})(memberOf=cn=RADIUS Users,cn=groups,dc=ldap,dc=home)
Bin dazu noch ziemlich neu im Thema LDAP.

109

German - Deutsch / Re: OPNsense 18.7 Upgrade kein Anmelden mehr über root

« on: August 23, 2018, 01:16:37 pm »

Es ist seltsam, dass root nicht mehr funktioniert. Es konnte beim 18.7 Upgrade durchaus passieren, dass Nutzer nicht mehr auf die Shell kamen, das sollte aber root nicht beeinflussen und die restlichen User kann man dann einfach umkonfigurieren auf der GUI.

Blöde Frage:
Dein root-User ist nicht deaktiviert / locked?
Und hat auch kein anderes Passwort als das dir bekannte?

110

German - Deutsch / Re: Eure Empfehlung nach IPv4 Subnetz!

« on: August 15, 2018, 06:48:55 pm »

Bitte Bitte Bitte hört doch endlich auf noch Dinge über Netzklassen zu erzählen.
Netzklassen sind schon fast antik, archaisch. Und nebenbei haben Netzklassen nichts, rein gar nichts
mit Subnetzmasken zu tun. Netzklassen unterschied man früher anhand der ersten Bytes einer IP Adresse und sie stammen aus einer Zeit in der es noch gar keine Netzmasken gab. Daher ist auch die heute sehr verbreitete
Annahme falsch, dasa /24 Klasse C, /16 Klasse B und /8 Klasse A ist - oder so ähnlich.

Heute verwendet man das sogenannte CIDR - Classless Inter-Domain Routing
Und hier kommen jetzt die Netzmasken ins Spiel weil man mit CIDR viel besser
subnetten kann.

Das musste jetzt mal raus.

111

German - Deutsch / Re: Kein zugriff auf Management GUI nach VLAN Setup

« on: August 14, 2018, 09:15:06 pm »

Welche IP hat die Sense im LAN?
Welche IP hat die Sense im VLAN?
Über welche IP versuchst du von welchem Netz aus zuzugreifen?

Gibt doch bitte mal mehr Infos über deine Konfiguration, dann kriegst du leichter Antworten.

112

German - Deutsch / Re: OpenVPN Profile mit redirect Gateway und Ohne

« on: August 14, 2018, 02:04:01 pm »

Bitte noch mal genauer beschreiben.

Du benötigst 2 Benutzer.
Einer soll nur den VPN Traffic übers VPN schicken
Der Andere soll jeden Traffic übers VPN schicken

In beiden Fällen bist du der Benutzer.

Wenn ich das so richtig verstanden habe, dann solltest du trotzdem 2 verschiedene OPNsense Benutzer verwenden. Jeder bekommt dann für OpenVPN ein anderes Zertifikat. Das ist zwar Mehraufwand, aber nur anhand des Zertifikat CommonNames kann die clientspezifische Config angewendet werden.

Wenn allerdings nur du der Nutzer bist, dann kannst du doch dem Vorschlag von JeGr folgen und 2 verschiedene Client configs verwenden. Dann ist es auch nicht so schlimm, dass dieses Verhalten nicht vom Server forciert sondern vom Client initiiert wird.

113

German - Deutsch / Re: OpenVPN Profile mit redirect Gateway und Ohne

« on: August 14, 2018, 01:16:09 pm »

Dafür sind doch die sogenannten CSCs. Das sind userspezifische Config Overrides. So stelle ich zB. sicher, dass alle meine Clients eine bestimmte IP Adresse bekomme.

Das CSC triggert auf den Common Name des Zertifikats. Jeder Nutzer muss also ein eigenes Zertifikat verwenden. Ich weiß das sollte stets so sein, sehe es aber auch oft anders.

VPN->OpenVPN->Client-spezifische Konfiguration
Hinzufügen, entsprechenden Server auswählen und den Common Name des gewünschten Zertifikats eintragen.

Sollte die gewünschte Option nicht bei den Haken stehen gibt es unten ein "Erweitert" Feld in dem man rohe OpenVPN Config Direktiven eintragen kann.

Connected jetzt ein Client mit diesem CommonName werden die Einstellungen aus der CSC genommen.

114

German - Deutsch / Re: dhcpd6 fällt immer wieder aus

« on: July 19, 2018, 11:09:22 am »

Es scheint hier langsam ein reinstes Kuddelmuddel zu werden.

Wenn ich mir meine Clients anschaue was die als DNS Server für IPv6 bekommen, dann sehe ich dort IMMER die DNS Adresse meines ISP Es wird tatsächlich doch die Adresse der Sense genommen. Bei v4 funktioniert das wunderbar, dass die Adresse der OPNsense genommen wird.

Ich möchte doch nur für IPv6 das gleiche wie für IPv4: OPNsense als DNS Server und die soll dann über meine eingestellten System DNS Server resolven.

Leider sind die IPv6 Einstellungen bei weitem nicht so konfigurierbar wie ich es gern hätte.
Ich lass mir zB. ein Präfix delegieren und tracke es an meinen lokalen Interfaces.
Solange ich aber keine statische Config habe kann ich nicht feingranuliert einstellen, wer welche DNS Adresse bekommt.

Auch weiß ich immer nie, von wo dann meine Clients ihre Config ziehen. Von dhcpv6 oder von radvd via slaac.

Und trotz all dem muss ich OPNsense echt loben dafür, dass überhaupt ein Großteil an IPv6 Funktionalität implementiert ist im Gegensatz zu manch anderen Produkten

115

German - Deutsch / Re: dhcpd6 fällt immer wieder aus

« on: July 19, 2018, 10:50:21 am »

Also dnsmasq ist komplett aus.

Ich dachte, wenn ich Forwarding ausschalte, dann resolved unbound nicht über die System DNS-Server.

Ich kann mal testen was passiert, wenn ich nur den Resolver an lasse. Und was passiert, wenn ich nur den Forwarder an lasse. Ich kann auch Unbound mal deaktivieren und dnsmasq wieder einschalten. Vielleicht funktioniert ja eine der Möglichkeiten.

Bisher wenn ich die ISP Server genutzt habe funktionierte die Auflösung auch mit Resolver UND Forwarder an :-D

Was den dhcpd6 angeht werd ich den mal versuchen direkt über ssh zu starten viell. krieg ich dann gescheite Logmeldungen

116

German - Deutsch / Re: dhcpd6 fällt immer wieder aus

« on: July 19, 2018, 10:11:15 am »

Bei mir läuft nur der Unbound.

Resolver aktiviert, Forwarder aktiviert, "Do not use the DNS Forwarder/Resolver as a DNS server for the firewall" ist deaktiviert.

Nach eintragen obiger DNS Server funktioniert es eine Weile ganz gut, irgendwann dann kracht dann der dhcpd6 zusammen. Dann muss ich wieder in die Systemeinstellungen gehen und einmal speichern, dann geht es wieder eine Weile.

Mein ISP ist 1und1, die sind an sich nicht so restriktiv.

117

German - Deutsch / Re: dhcpd6 fällt immer wieder aus

« on: July 19, 2018, 10:03:21 am »

Inwiefern? Wenn ich einstelle, dass PPPoE die DNS Einstellungen überschreiben darf, dann funktioniert alles.

Ich habe erst Probleme, seit ich das abgeschaltet habe und manuelle System DNS Server eingetragen habe.

Es sind die CloudFlare DNS Server falls die Info hilft (1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001)

118

German - Deutsch / Re: dhcpd6 fällt immer wieder aus

« on: July 19, 2018, 07:42:02 am »

Da sieht alles relativ ok aus. Ab und zu kommt

dhcp6c[26240]: transmit failed: Can't assign requested address

Aber das ist ja ne client Meldung. Warum der dhcp6 daemon ausfällt kann ich nirgends ausmachen. auch nicht im syslog

edit:

ich habe jetzt aus den system dns Servern  letzte Nacht die v6 adressen entfernt und nur 2 v4 Adressen  reingetan
wunderlicher Weise crasht mein dhcp6d dennoch. bin sehr ratlos jetzt

119

German - Deutsch / Re: OpenVPN Firewall-Regeln - welches Interface

« on: July 19, 2018, 12:55:59 am »

Franco ich glaube wir reden von Verschiedenem ?!?

Also. Sobald ich einen OpenVPN Server eingerichtet habe, erscheint im Bereich Firewall das Interface "OpenVPN".

Jetzt gibt es aber zusätzlich die Möglichkeit im Bereich Interfaces -> Assign ein neues Interface an der ovpns1 Schnittstelle anzulegen.

Folgende Situation:
Auf beiden Sensen ist ovpns1 einem interface assigned.
Auf meiner Home Appliance gelten aber nur die Regeln für das selbst assignte, auf der anderen gelten nur die Regeln von "OpenVPN"

120

German - Deutsch / Re: OpenVPN Firewall-Regeln - welches Interface

« on: July 17, 2018, 10:59:09 am »

Ich nutze nur den tun Adapter. Immer und auf beiden Firewalls. Würde mich also schon wundern, wenn es an der Art des Adapters läge.