Messages

166

German - Deutsch / Re: opnsense, pf und ein paar Anfängerfragen

« on: February 21, 2018, 12:05:22 pm »

Welche Berechtigung muss ich im GUI einem non-root user geben, damit er im CLI su nutzen kann?

Er benötigt die Gruppenmitgliedschaft "admins" - das sorgt auch für eine Verwendbarkeit von sudo, wenn man es einstellt und für eine Zuweisung des Users zur unix-gruppe wheel

Wie ist das Zusammenspiel von CLI und GUI? Welche Schnittstelle übersteuert die andere (vermutlich das CLI die GUI) und sind Änderungen in der führenden Schnittstelle in der übersteuerten dann auch sichtbar?

Es gibt eine Abstraktionsebene für die Konfiguration. CLI-Kommandos und GUI-Einstellungen ändern Einstellungen innerhalb dieser Ebene und sind als gleichwertig zu betrachten.

Ausnahme ist natürlich, wenn du das unterliegende BSD selbst nutzt um zB. EInstellungen und Regeln zu ändern. Dann änderst du das nämlich auf der OS Ebene und der configd-Layer bekommt das nicht mit. Solche Settings sind flüchtig und nach einem Reboot wieder weg.

Und schliesslich: Wo hätte ich die Antworten auf all diese Fragen finden können, ohne Euch beanspruchen zu müssen? Die Doku hat mir schon viel geholfen, aber grade zur Firewall sagt sie nicht allzu viel und fremde Doku zu PF ist wohl mit Vorsicht zu geniessen (vgl. erste Frage).

Vieles erfährst du wirklich nur durch die Suchfunktion des Forums und durch eigene Threads. Ich würde mir wirklich wünschen, dass das OPNsense Wiki offen wäre.

167

German - Deutsch / Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense

« on: February 19, 2018, 07:54:27 am »

Mich wundert, dass hier immer NAT-Regeln mit Port-Forwarding über die externe Schnittstelle durchgeführt werden. Der Telefonieserver baut doch keine Verbindung mit der FritzBox auf sondern umgekehrt.

Ich hatte das Problem des "Nichthörens" - also, RTP Pakete kamen nicht durch - auch bei eingehenden Gesprächen. Deshalb auch die SNAT Regel zusätzlich zum DNAT

168

18.1 Legacy Series / Re: PPPoE reconnect loop

« on: February 19, 2018, 07:50:25 am »

Unfortunately, no.

I never set custom values to MTU/MSS and regularly facing those problems.

Since 17.7 my IPv6 connection broke after 24h reconnect. I worked around it setting an automated reboot. But now, since a clean 18.1 install, I also get those infinite pppoe loops.
And often, out of the blue my pppoe connection stops working.

169

German - Deutsch / Re: DNS - Sonderfall

« on: February 14, 2018, 10:24:04 am »

Du könntest den Clients nicht nur 8.8.8.8, sondern die Sense noch als sekundären DNS Server übergeben (via DHCP)

Dann haben die Unlimited clients eben 2 DNS Server. Wenn der erste (8.8.8. die Domain nicht auflöst wird eben der zweite DNS Server verwendet als Fallback.

170

Development and Code Review / Re: can´t push to github

« on: February 12, 2018, 11:29:00 am »

Your fork does not automatically update from the upstream repository.
You need to manually update all branches.

https://help.github.com/articles/syncing-a-fork/

You can not just push the fork button again to get the updates. You can sure delete your fork and fork it again, but you will lose all changes that you have made to your fork, unless all your changes did get upstream via pull requests.

So you really want to update your fork using the manual I posted above.

Also, if you worked a long time on your fork and if fork and upstream have not synced over a longer period, you may get merging conflicts that you need to resolve yourself.

171

German - Deutsch / Re: Ständiges Passwortproblem seit Version 17.x

« on: February 11, 2018, 04:06:48 pm »

Ich finde es schon ziemlich peinlich, dass eine gute Firewall in der Version 18 nicht in der Lage ist, Passwörter zu erkennen bzw. zu speichern.

Ist heute Tag der unqualifizierten Kritiken? Oder ist das eine neue Welle von Trollen, die das Projekt schlecht machen wollen?

Ich werde definitiv zu pfSense wechseln.

Dann macht es mMn auch keinen Sinn mehr dir hier weiter zu helfen.

172

German - Deutsch / Re: Crash

« on: February 11, 2018, 03:59:52 pm »

Tut mir leid, aber bei Menschen wie dir kann ich mir sowas wie Folgendes nicht verkneifen:

----------------------------

Es ist eigendlich echt schade, dass seid über einem Jahr OPN Sense nicht mehr nutzbar ist.

Muss mir entgangen sein, denn ich nutze es schon seit letztem Jahr bis heute.

Wir müssen hier immer noch mit der 16.7 rumhängen weil sich die 17.1 und 18.1 immer selbst zerstört nach dem ersten Neustart.

Hast du schon mal an eine Firewalltherapie gedacht? Selbstzerstörung ist keine Lösung. Auch nicht für Software.

Ich und viele andere haben 100 Mal das Problem hier schon gepostet! Leider noch ohne Erfolg!

Du (Iah) und viele andere haben also ohne Erfolg gepostet. Liegt es eventuell daran, dass diese Postings genauso fundiert sind wie dieses hier? Bitte um die Aufstellung der 100 Links, deren Anzahl ich stark bezweifle.

Irgendwie kratzt das wohl keinen. Aber wir denken wirklich langsam diese SW zu verlassen.

Diese SW (scheiß Welt) verlassen? Nanana, wie oben gesagt, Selbstzerstörung ist keine Lösung! Es wird euch aber niemand davon abhalten, diese Software nicht mehr zu betreiben.

Wenn ein Fehler über 1 Jahr ungelöst bleibt fehlt wohl was an den Programmierern selbst.

Was soll an denen fehlen? Du kannst bei Github gern ein Issue eröffnen und fragen, ob noch alles an den Entwicklern dran ist. Oder statt 100 mal im Forum zu posten kannst du dort auch einfach einen Bug melden, wo es auch tatsächlich die meisten Entwickler sofort sehen.

Naja echt schade! War voll überzeugt von diesem Projekt.

Tschühüüß. Ich bin es immer noch. Wenn du eine FW für kritische Systeme benutzt und Fehlerbehebung innerhalb einer Toleranzzeit benötigst, dann geh am besten zu Anbietern, die SLAs mit dir haben. Dann kannst du auch in deren Forum berechtigterweise ranten.
----------------------------

Ich finde diesen Post zwar aus der Sicht eines frustrierten Nutzers verständlich, unverständlich ist mir aber, dass man so wenig Details und mit so wenig Argumenten einfach nur seinen "Abfall" da lässt und keine qualifizierte Kritik übt.

Ich ärgere mich derzeit auch über 1-2 Bugs. Aber die habe ich gemeldet und ich bin mir sicher, auch wenn sie in 2 Wochen noch da sind, dass sie irgendwann gefixed werden. Sie machen auch die OPNsense nicht unbenutzbar per se. Kritische Bugs werden nach Meldung schnellstmöglich gefixed. Franco war nach Release stundenlang im Forum unterwegs und keine 4h nach Release gab es schon Hotfixes. Es ist immer noch ein Open Source Projekt und eins mit einer super Community.

PS: Die Entwicklungsgeschwindigkeit wird sich auch mit solchen Postings nicht erhöhen.

173

German - Deutsch / [gelöst] Abarbeitungsrichtung NAT-Regeln

« on: February 09, 2018, 04:08:40 pm »

Nabend.

Wenn ich im Bereich Firewall->Regeln bin habe ich mir schon angewöhnt daran zu denken, dass Regeln nur auf die Pakete angewendet werden, die die Schnittstelle auf dem Weg in die Firewall hinein, aber nicht auf dem Weg hinaus passieren. Eine Regel auf LAN, die Pakete, die von WAN an LAN selbst gehen blockiert, funktioniert also nicht.

Wie sieht die Sache jetzt beim NAT aus?

Wenn ich eine ausgehende NAT Regel (SNAT) an WAN erstelle; Werden dann nur Pakete bearbeitet, die die WAN-Schnittstelle auch WAN-seitig verlassen? Oder muss ich da tatsächlich auf die Reihenfolge von Quelle und Ziel achten?

Wie stellt es sich mit Portfreigaben (DNAT) dar?

174

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: February 09, 2018, 10:08:15 am »

Genau in der Maske hab ich es auch gemacht und bei Address ne IPv6 Adresse eingetragen. Hat er zugelassen.

Problem ist bei der Sense nur, dass ich trotzdem den radvd oder dhcpv6 server nicht zum laufen kriege, weil die "Hauptkonfiguration" nicht statisch ist. Muss da auch noch n bissl experimentieren.

175

German - Deutsch / Re: Beim Pingen vom LAN nach außen (8.8.8.8) kommt nur eine Antwort vom Loopback

« on: February 09, 2018, 08:16:25 am »

Beim Ping auf 8.8.8.8 im LAN bekommst du ne Antwort von 127.0.0.1? Entweder dein TCP/IP Stack ist besoffen, oder du musst deine Anfrage noch mal präzisieren und ggf. Logs von der Command line posten.

176

German - Deutsch / Re: DNS für unterschiedliche Netze einrichten

« on: February 09, 2018, 08:09:07 am »

Verwaltest du viele Domains? Wenn es sich in Grenzen hält kannst du Unbound anweisen für bestimmte Domains den DNS Server zu überbrücken. Dann verwendest du überall einfach die jeweilige IP der OPNsense als DNS Server.

Anfragen gehen standardmäßig über den ISP DNS. Anfragen für Domains auf der Override Liste gehen an die jeweils konfigurierten DNS Server. Du musst im Unbound nur den höchstwertigen Domainteil angeben. Alle anderen Subdomains fallen auch unter die Überbrückung. Auch Reverse Einträge sind überbrückbar.

Die Option findest du unter Dienste->Unbound DNS->Überbrückung. Dort die "Domainüberschreibung" nutzen.

177

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: February 08, 2018, 04:58:16 pm »

Danke Tobias.

Die Idee, dass ich mit ULAs arbeite kam mir auch, allerdings fand ich ebensowenig eine Möglichkeit den Interfaces zusätzliche alternative IP Adressen zuzuweisen. Manuell will ich das nicht machen, da ich nicht das Risiko eingehen möchte, dass mir manuelle Interface configs zerschossen werden.

die IP Aliases finde ich interessant, kenne aber ihre genaue Funktion nicht. Es ist mir aber zumindest in der aktuellen OPNsense Version gelungen einen Alias auf eine IPv6 Adresse anzulegen.

178

German - Deutsch / Re: Wohin mit der Firewall ?

« on: February 05, 2018, 12:01:36 pm »

Das Hostsystem auf dem die VMs laufen müsste aber auch erstmal physisch kompromittiert werden.
Wer natürlich die Firewall auf dem selben Host virtualisiert, auf dem er auch Webserver oder andere externe Tools hostet der hat natürlich auch selbst Schuld. Wobei das Ausbrechen aus einer VM an sich nicht trivial ist.

179

German - Deutsch / Re: Wohin mit der Firewall ?

« on: February 05, 2018, 11:12:19 am »

ps.: Firewall virtualisieren? Zu Testzwecken klar, kein Ding im echten Betrieb? Zur Zeit eher nicht mein Ding siehe Spectre und Meltdown. Ich befürchte da kommt noch mehr auf uns zu 

Gegen virtuelle Applicances ist eigentlich nichts einzuwenden, da auch reale Hardware von Meltdown/Spectre angreifbar ist. Gepatcht werden sollten generell alle Systeme im Livebetrieb. Meltdown ist eingedämmt, Spectre 1 auch. Zumindest wenn die Patches mal alle überall verteilt werden ohne die Systeme zu zerschießen. Spectre 2 soll ja auch irgendwann durch neue Hardware Ende des Jahres gefixed werden (mal sehen ob das so kommt)

Allerdings gibt es für Spectre noch keinen wirksamen Angriff und es ist auch nicht mal einfach so aus dem Internet auszunutzen.

180

German - Deutsch / Re: Wohin mit der Firewall ?

« on: February 04, 2018, 04:45:49 pm »

Die Fritz!Box hinter der OPNsense ist zwar machbar aber nicht schön. Aus mindestens 2 Gründen:

- Doppeltes NAT: von Internet ins Fritz Netz und vom Fritz Netz ins OPNsense Netz. Ist zwar meist nicht problematisch aber es gibt Protokolle wie SIP oder IPSec denen schmeckt sowas gar nicht

- WLAN: Die meisten nutzen die Fritz!Box auch als Access Point. WLAN Geräte sind in diesem Setup nicht im LAN Netz. Und umgehen in Richtung Internet die Firewall. Für den Zugriff von WLAN Clients ins LAN sind dann Portfreigaben fällig, eine direkte Verbindung Ende zu Ende ist wegen des zweiten NAT nicht möglich.

Ich würde das ganze einfach mal auf virtueller Basis machen.

- In VirtualBox ein Host-Only Netzwerk einrichten mit IP 192.168.1.2 (das ist die IP deines Rechners im HostOnly Netzwerk)

- VirtualBox installieren, eine OPNsense Instanz aufbauen mit 2 Netzwerkinterfaces
- Netzwerk 1: Bridged auf deine LAN/WLAN Karte
- Netzwerk 2: HostOnly Netzwerk von oben
- OPNsense konfigurierst du WAN-seitig mit Netzwerk 1 und DHCP, LAN-seitig mit fester IP 192.168.1.1

Effekt:
Du hast eine OPNsense, die über die Netzwerkkarte deines Rechners mit Internet gespeist ist. Und du hast ein virtuelles Netzwerk 192.168.1.0/24. Über deinen Rechner erreichst du die Sense mit 192.168.1.1 und dein eigener Rechner hat die 192.168.1.2.

Jetzt kannst du nach Belieben weitere virtuelle Rechner starten in VirtualBox. Gebe ihnen als Netzwerkinterface ienfach das HostOnly Netzwerk und sie werden somit LAN Rechner für deine OPNsense. So kannst du auch nach Belieben testen