Messages

16

Tutorials and FAQs / Re: Fast and easy way to protect your home and/or small office network with OPNsense

« on: February 05, 2018, 10:29:25 pm »

Hi elektroinside,

thanks for this initiative. This is all mega helpful for a beginner like me ! Especially the AdGuard howto is something I highly appreciate


Thanks also to all contributor in this thread.

Cheers

17

18.1 Legacy Series / Re: New Live Firewall log view

« on: February 02, 2018, 10:44:57 am »

Thanks for your feedback, gentlemen.

Well, to be honest, the reduced search field complexity made it in the first instance harder to find my stuff.

However, once I perceive it just like full-text search, I could find almost everything.

Though I yet need to find out how to set more than one filter at a time. F.e. block + LAN doesn't show anything, while block shows LAN items


EDIT: block+lan ... did the trick. Funny how ideas sometimes pop up
EDIT2: this doesn't do the trick completely. F.e. block+192.168.2.1 doesn't show anything, although traffic related to 192.168.2.1 (source and destination) gets blocked.

18

18.1 Legacy Series / Re: New Live Firewall log view

« on: February 01, 2018, 10:08:26 pm »

Yes. That's what I thought as well. Would be great to still have the old "normal" view

19

18.1 Legacy Series / Re: Feature Request: Rules Groups

« on: January 25, 2018, 04:43:56 pm »

I see. Thanks for your clarification

20

18.1 Legacy Series / Re: Feature Request: Rules Groups

« on: January 25, 2018, 01:42:05 pm »

There is no option to build combined aliases for "hostip:port" ... correct? It would be great to have this option as well

Cheers

21

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 03:20:40 pm »

Teresa O. und VHS Video-Kassetten (!!!) ... wow ... that reminds me

22

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 02:32:26 pm »

Dank Euch allen !

Wie ich bereits sagte, schaue ich mir das Ganze mehr so aus Neugierde an. Und wenn es einen überschaubaren Weg gibt, da was zu sichern, dann mache ich das. Aber ich werde keine weitere Komplexität in die Infrastruktur daheim rein bringen. Sooo wichtig sind wir dann nu auch nicht

Am Ende sichere ich die Server durch geeignete Passwörter ggf. Zertifikate (auch ein schönes Puzzle ). Die WLANs sind eh gesichert. Und wenn die Kiddies im Haus Pornos schauen wollen, dann wird es ihnen auch gelingen. Nicht heute, mit 10. Aber mit 15 wissen die wahrscheinlich besser, wie sie Webfiltering dann doch leicht umgehen können ... Da hilft am Ende nur Erziehung, Offenheit, Aufklärung und Vertrauen.

23

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 10:38:15 am »

Wie man so etwas dann Frauenkompatibel bekommt weiß ich aber auch nicht! 

... in der Tat!

Den Aufwand scheue ich nicht. Habe aber bzgl. MAC Adressen gelesen, dass diese in wenigen Minuten ermittelt werden können (spoofing?). Deswegen war meine Annahme, dass eine Regelung über User (Captive Portal) am Ende besser ist? Ggf über 2FA?

Ich denke ich lese erst noch mal ein bissl mehr zum Captive Portal und melde mich, wenn ich eine Idee bzw. Fragen diesbezüglich habe hier noch mal.

BTW: Ich habe keine Paranoia. Aber das Thema ist per se interessant ... und so ein Puzzle hilft die Grauen in Gang zu halten

24

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 10:04:56 am »

Die Infrastruktur will ich der Einfachheit halber nicht antasten.

Wenn Frau dann doch mal in ein anderes Zimmer geht, und die Dose dann am Switch nicht gepatcht ist, gibt es Ärger ... Außerdem habe ich immer Doppeldosen. Und wenn da bspw. links ein AppleTV steckt und rechts frei ist. Dann wäre AppleTV ans LAN angeschlossen und rechts nicht. Da steckt der Gast dann einfach um. Nicht zuletzt bleibt auch der Hausanschlussraum ... da wird dann einfach ein Kabel an den Switch gelugged.

VLAN scheidet hier aus. Meine Switches sind diesbezüglich doof. Ich will ehrlich gesagt auch nicht noch mehr Komplexität in die Infrastruktur bringen.

Ich lese mich gerade ins Captive Portal ein. Mein Ziel ist, das für die Familie so transparent wie möglich zu gestalten, aber dennoch am Nutzer festmachen zu können, wer was machen darf.

25

German - Deutsch / Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 09:04:15 am »

Wir haben hier in jedem Zimmer LAN Dosen an der Wand. Der Hausanschlussraum ist kein Hochsicherheitsraum, mithin für jeden zugänglich. Damit steht es jedem frei, ein Gerät via LAN-Kabel anzukoppeln. Ändern lässt sich das nicht, wäre fürs Heim auch nicht gewollt.

Gegenwärtig fahre ich quasi Clientless, Zugriffe werden ausschliesslich über IPs gemanaged, User müssen sich nicht anmelden. Und eine DHCP Guest-Range bietet ja nur so lange "Sicherheit", bis ein "findiger" Anwender sich selbst eine IP gibt. Und, wenn er/sie dann auch noch meine Admin-IP erwischt, kann ein Zugriff auf kritische Bereiche, außer durch entsprechend starke Passwörter für die darin erreichbaren Dienste, im Prinzip nicht mehr verhindert werden. Auch ließen sich so WebFiltering Profile umgehen.

Was bei WLAN noch einfach zu managen geht (Zugang nur über WPA2-Passwort) ist bei mit OPNSense für LAN-Bereiche über welchen Weg "analog" gestaltbar?

Ich bin für Ideen dankbar

26

German - Deutsch / Re: (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 22, 2018, 07:39:56 am »

Ich danke der Community

2 Tipps noch für OpenVPN Neulinge:

1) Anlegen einer statischen IP für die Clients über Client-spezifische Konfigurationen möglich.

Wichtig für differenzierte Firewall/Zugriffsregelungen. Im Feld IPv4 Tunnelnetzwerk der client-spezifischen Konfiguration habe ich die IP als 10.10.0.xyz/24 für den User angelegt. Pro User eine eigene Konfiguration. Wichtig: Im Feld Common Name den Namen eintragen, der im User-Zertifikat hinter "CN= " steht. Die Zertifikate findet man unter System/Sicherheit/Zertifikate.

Nach dem Anlegen/Bearbeiten der client-spezifischen Konfiguration den Neustart des OpenVPN Servers nicht vergessen.

2) Damit der DNS auch lokale Namen auflöst muss im Unbound DNS noch die Zugriffsliste ergänzt werden. Den Hinweis habe ich hier gefunden: https://forum.opnsense.org/index.php?topic=6659.msg28685#msg28685 . Dank an Animosity022.

27

Tutorials and FAQs / Re: Update SSL Road Warrior VPN Wiki

« on: January 22, 2018, 07:19:32 am »

Cool ... that did the trick

Thanks Animosity022

28

German - Deutsch / Re: (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 22, 2018, 12:14:44 am »

Kurzes Update: Et lüppt nun. Damit ist meine Migration der wichtigsten Funktionen abgeschlossen. Ab jetzt kommt das Fine Tuning

29

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 09:13:28 pm »

Danke für Deinen Support, chemlud ...

Ich kann es nicht genau erklären. Aber jetzt gerade funktioniert es.

Das OpenVPN habe ich bereits mehrfach neu aufgesetzt. Mit dem Assistenten und den exportierten Profilen stand die Verbindung auch immer sofort. Die letzte Einstellung, die ich änderte (vorher den Server gestoppt) war, beide Subnetze für LAN und OPT2 im Feld "Lokales IPv4 Netzwerk" einzupflegen.

Ich schaue jetzt mal, wie stabil das Ganze ist.

Für den Moment (SOLVED) ... warum auch immer

30

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 08:36:31 pm »

Mh ... noch mal einen Schritt zurück. OpenVPN scheint IPSec regelmässig vorgezogen zu werden. Das Einrichten auf den Clients ist mit den Profilen ja ein Kinderspiel.

Ich schraube jetzt mal alles zurück und setze mit OpenVPN neu auf. Clean install.

Eine Frage vorab:

Wenn ich den Tunnel im Prinzip herstellen kann. Bestätigt auf dem Device UND in OPNSense. Sollte ich dann die erste Hürde genommen haben und mich auf das Regelwerk der Firewall konzentrieren können ODER könnte trotzdem versteckt was am Tunnel falsch sein?

Meine Annahme. Der Tunnel steht. Mithin sind sowohl die Portfreigabe der Fritz als auch die Einstellungen auf Server und Client im Prinzip OK.

Merci