Messages

346

Development and Code Review / firewall-scheduler - disable cell (background-color)?

« on: May 15, 2018, 06:07:33 pm »

Hi Franco!

in the course of my training in the mvc of opnsense, I found the file, which is responsible for the firewall scheduler. I came across the problem when creating the cicada template, but ignored it for lack of time.

So that this value is not always displayed in white when deactivating a cell, it would be sufficient to set the value to "inherit" instead of "#FFF".

This would make the scheduler independent of the WEB template (GUI) and above all readable.

I attached a modified code screenshot and the screenshot of the original code.  Incidentally, I've already tried it and it works flawlessly.

What do you think ?

best regards rené

347

Development and Code Review / Re: Collapse Dashboard like on FreeNAS Beta UI ?

« on: May 15, 2018, 05:17:04 pm »

Hi René,

> usr \ local \ opnsense \ MVC \ app \ views \ layout_partials \ base_menu_system.volt

This is the MVC menu template, yes, you want to adjust this one.

> usr \ local \ opnsense \ MVC \ app \ cache \ _usr_local_opnsense_mvc_app_views_layout_partials_base_menu_system.volt.php

This is the MVC cache file, it will be generated from the template above. This does not need to be edited.

> usr \ local \ www \ fbegin.inc

This is the static file, we will add collapsible menu support to this file together in a later stage after the MVC has been adjusted.


Cheers,
Franco

hi franco,

I have another question.

Is it possible to include or use a class or div of your own in the core or are you only allowed to use the classes or divisions of bootstrap?

best regards
rené

348

Development and Code Review / Re: Collapse Dashboard like on FreeNAS Beta UI ?

« on: May 14, 2018, 01:06:32 pm »

Hi René,

> usr \ local \ opnsense \ MVC \ app \ views \ layout_partials \ base_menu_system.volt

This is the MVC menu template, yes, you want to adjust this one.

> usr \ local \ opnsense \ MVC \ app \ cache \ _usr_local_opnsense_mvc_app_views_layout_partials_base_menu_system.volt.php

This is the MVC cache file, it will be generated from the template above. This does not need to be edited.

> usr \ local \ www \ fbegin.inc

This is the static file, we will add collapsible menu support to this file together in a later stage after the MVC has been adjusted.


Cheers,
Franco

Thank you for your explanation and your help!

best regards
René

349

German - Deutsch / Re: [GELÖST] Windows updates durch Squid Proxy blockiert! Fehler 0x801901f7

« on: May 12, 2018, 10:29:15 pm »

thx fabian for this information!
So there is currently no solution?

best regards
rené

350

German - Deutsch / Re: [GELÖST] Windows updates durch Squid Proxy blockiert! Fehler 0x801901f7

« on: May 12, 2018, 10:54:49 am »

Thats how it should be solved-> https://wiki.squid-cache.org/SquidFaq/WindowsUpdate
How can this be done in opnsense?
since the gui cannot handle this.


Squid with SSL-Bump and Windows Updates
by Yuri Voinov
In modern setups with Squid, Windows Update cannot be check updates with error "WindowsUpdate_80072F8F" or similar.

WU now uses its own pinned SSL certificate and must be spliced to work. When you use sniffer, you can see many IP's with relatively big subnetworks. This leads to problems with a Squid-3.4 and causes serious problems when using Squid-3.5 or above.

To use splicing, you need to know the names of the servers, however, a recursive DNS query does not give a result.

To pass WU check through Squid splice, you only need to splice next MS servers:


update.microsoft.com
update.microsoft.com.akadns.net
For use in real setups, write file url.nobump:


# WU (Squid 3.5.x and above with SSL Bump)
# Only this sites must be spliced.
update\.microsoft\.com
update\.microsoft\.com\.akadns\.net
Just add this file as Squid ACL as follows:


acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/usr/local/squid/etc/url.nobump"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all
and you do not need to know all the IP authorization server for updates.

{i} NOTE: In some countries WU can product SQUID_X509_V_ERR_DOMAIN_MISMATCH error via Akamai. To do WU, you can require to add this into your Squid's config:

acl BrokenButTrustedServers dstdomain "/usr/local/squid/etc/dstdom.broken"
acl DomainMismatch ssl_error SQUID_X509_V_ERR_DOMAIN_MISMATCH
sslproxy_cert_error allow BrokenButTrustedServers DomainMismatch
sslproxy_cert_error deny all
and add this to dstdom.broken:


download.microsoft.com
update.microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
{i} NOTE: Depending your Squid's configuration, you may need to change your Squid's cipher configuration to this one:

sslproxy_cipher HIGH:MEDIUM:RC4:3DES:!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!SRP:!DSS
and add this one to your bumped port's configuration:


cipher=HIGH:MEDIUM:RC4:3DES:!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!SRP:!DSS
3DES and RC4 required to connect to WU and - attention! - Skype assets site.

/!\ WARNING: Some updates cannot be cached due to splice above. Beware!
/!\ WARNING: Adding 3DES and, especially, RC4, produces potentially weak ciphers via client and WU/Skype and some other sites. Be careful!

351

German - Deutsch / Re: [GELÖST] Windows updates durch Squid Proxy blockiert! Fehler 0x801901f7

« on: May 11, 2018, 11:13:02 am »

Ich wollte der Community nur mitteilen, das diese Lösung nur noch bis zu Windows 7 funktioniert.
Seit dem letzten Windows 10 Update Ende letzten Jahres (Ende 2017), funktioniert dies nicht mehr mit Windows 10.

Das hinzufügen, dieser Seiten zur NO SSL BUMP Liste (.microsoft.com
.windowsupdate.com, .update.microsoft.com.akadns.net, .update.microsoft.com.nsatc.net) bringt leider nichts mehr. Auch andere Seiten habe ich noch zusätzlich hinzugefügt. Leider auch ohne Erfolg.
Warum, weiß ich nicht. Fehlercode: (0x800b0109)

Möglicherweise würde es funktionieren, wenn man so wie bei pfsense unter "Before Auth" diese Einträge machte wie ganz oben(erster Post) beschrieben, nur geht das leider unter opnsense nicht.

Falls jemand eine Lösung kennt, bitte posten.

P.S Nein, ich verwende kein IDS/IPS.

352

Development and Code Review / Re: Collapse Dashboard like on FreeNAS Beta UI ?

« on: May 10, 2018, 11:58:27 pm »

With the latest changes having dropped for os-theme-cicada I think with your ok we can release it as 1.0 in 18.1.8 to all users so it also shows in the firmware plugins.

os-theme-tukan should be merged soon, there was a review question open by Fabian, but I'm sure that'll also be merged not too far out.

If you have questions regarding the menu code you can drop them here. It's probably split between the static and MVC pages.... maybe best to pick the MVC code and we work on static integration when the MVC code is done and merged, otherwise it complicates the process. Sounds good?


Cheers,
Franco

Hi Franco,

I'm just trying to find my way around the mvc and looking for the right file in which the navigation is located. I found three files there. I'm not sure which is the right one.

usr \ local \ opnsense \ MVC \ app \ views \ layout_partials \ base_menu_system.volt

or

usr \ local \ opnsense \ MVC \ app \ cache \ _usr_local_opnsense_mvc_app_views_layout_partials_base_menu_system.volt.php

or

usr \ local \ www \ fbegin.inc

Please do not be angry. I have to get used to the framework first. php, js, etc. I know, but with bootstrap, asp, etc. I have not done anything yet. this is new territory for me. But I'm totally interested. Can you help me?

Best regards,
René

p.s. i bought a book about bootstrap two days ago :-)

353

German - Deutsch / Re: Mehrere kleine Problemchen und bitte Hardwareberatung für 1gbit Internet

« on: May 08, 2018, 06:54:00 pm »

@tomekk:

> Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.

Nein ist es nicht. Bitte informieren bevor man einfach Behauptungen aufstellt. AES-NI tut für den Prozessor mehr, also "nur" irgendwelche AES Cipher zu beschleunigen. Lies dich schlau. Ich bins leider leid immer wieder die gleiche Gebetsmühle rauszuholen.

@Dirk
> Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel.

Andere Baustelle und hat primär damit nichts zu tun. Ist aber auch bei anderen "Familien" nicht wirklich besser. AMD machts ein wenig besser, zu ARM, deren Kram auch von mancher Schiene betroffen ist, ist es danach auch spontan still geworden. Das trifft einfach alle, weil man zu lange billige Abkürzungen in der Hardware geschludert hat, bei der Security zu kurz kam. Hat aber nichts damit zu tun, dass bspw. AES-NI schon mehrfach gegen Seitenstrang Attacken und Timing-based Angriffe abgeschirmt/geholfen hat, bei der gerade alte CPUs anfällig waren. Bspw. über Cache Angriffe die dann heute im extremen zu Spectre geworden sind. Aber andere Baustelle

Ich finde es nur schade, dass man einfach ohne Hintergrundwissen einfach mal Dinge als "gesetzt" in den Raum stellt. Sowas verbreitet sich dann dank Suchfunktion und Google Index als Schwarmwissen...


Edit:
For the sake of argument and documentation: http://sites.nyuad.nyu.edu/moma/pdfs/moma-project-cache-timing-attacks-on-aes.pdf

Zitat: “[…], it still proves that after we disabled the AES-NI, the processor became vulnerable to the cache-timing attack.”

Zuerst mal ein großes Danke für die geniale Erklärung und den Link.
Aber um beim Thema zu bleiben, was ist denn im Low Power Bereich überhaupt brauchbar?

Ich verwende derzeit einen N3700 von Supermicro. Bin eigentlich zufrieden aber etwas mehr Leistung wäre schon gut, da das Ding bei IDS/IPS schon an die Grenzen kommt.. Für den Homegebrauch ist alles was über 15/20 Watt geht und 24 Stunden laufen soll auf dauer zu teuer egal was es kann bzw leistet. Was würdest du Home-usern dann empfehlen?

Danke und LG

354

German - Deutsch / Re: Mehrere kleine Problemchen und bitte Hardwareberatung für 1gbit Internet

« on: May 08, 2018, 11:41:27 am »

Na dann sollten sich die Kosten in Grenzen halten.

355

Development and Code Review / Re: Collapse Dashboard like on FreeNAS Beta UI ?

« on: May 08, 2018, 10:48:18 am »

Yes, sure. Thank you

356

Hardware and Performance / Re: Atom C3000 - do intel nics work?

« on: May 08, 2018, 08:26:48 am »

thank you for the Information!

best regards

357

German - Deutsch / Re: Mehrere kleine Problemchen und bitte Hardwareberatung für 1gbit Internet

« on: May 08, 2018, 08:13:46 am »

Zum Strom: Doch um einiges sparsamer als ich dachte. Der Server, der DG Router und ein 5 Port Gigabit Switch kommen zusammen auf ca 85 Watt laut Messuhr.  Kostet mich nun also keine 3€ im Monat :-)

ich weiß nicht was die kwh in Deutschland kostet, aber wenn ich von einem durchschnittlichen Preis in Österreich ausgehe und dieser beträgt ungefähr 0,19 Euro/kwh, dann zahlt man dafür bei 24 Stunden Betrieb im Jahr 140 Euro. Das wären dann ungefähr 12 Euro im Monat!

358

Hardware and Performance / Re: Atom C3000 - do intel nics work?

« on: May 07, 2018, 11:22:04 pm »

So freebsd 11.2 will be released on 27 June 2018.

How long will it take until this version of freebsd is taken over to opnsense?

359

Hardware and Performance / Re: Atom C3000 - do intel nics work?

« on: May 07, 2018, 10:09:32 pm »

this is what i found in the pfsense forum:
https://forum.pfsense.org/index.php?topic=139429.30

So it should only work with version 11.2, if I understand correctly?

360

Hardware and Performance / Re: Atom C3000 - do intel nics work?

« on: May 07, 2018, 10:03:08 pm »

Thank you for your answer, but does that also mean that it is also supported by opnsense?
Could someone already test a board ?