Messages

376

19.1 Legacy Series / [Solved] Firewall logging stopped, live view shows outdated entries only

« on: April 26, 2019, 08:47:44 am »

My live log stopped, filter.log is empty and I have no idea how to get it working again.

I checked and uncheck the "Log Firewall Default Blocks" rules, reset/cleared all logs, rebooted, added the log option to nearly every rule, but no entries in live view, overview or plain view. filter.log stays empty.

Tried also:
https://forum.opnsense.org/index.php?topic=9542.0

Did not help either

My current workaround is:

Code: [Select]

#  tcpdump -n -e -ttt -i pflog0
So, pflog0 interface is working. What component is between pflog0 and live view?

filterlog and syslog are running:

Code: [Select]

55019  -  Ss     0:00.05 /usr/local/sbin/filterlog -i pflog0 -p /var/run/filterlog.pid
60021  -  Ss     0:00.10 /usr/local/sbin/syslogd -s -c -c -P /var/run/syslog.pid -l /var/dhcpd/var/run/log -l /var/unbound/var/run/log -f /var/etc/syslog.conf

System is a fresh installation with 19.1.4 updated to 19.1.6. No mods in file system have been done, just configurations via web gui for interfaces and carp. Now I wanted to start adding rules and boom ... no logs to check.

377

Web Proxy Filtering and Caching / Re: [SOLVED] get rid of host forgery detected

« on: April 26, 2019, 08:16:49 am »

While the original requesters never confirmed this works as intended they also never complained it did not.

b) It doesn't work and you need to help us debug.

Since my 19.1.5 still shows host forgery, I assume the fix never worked. My squid cache.log shows tons of :

Code: [Select]

2019/04/26 08:04:48 kid1| SECURITY ALERT: Host header forgery detected on local=35.201.121.164:443 remote=10.X.X.X:51100 FD 406 flags=33 (local IP does not match any domain IP)
2019/04/26 08:04:48 kid1| SECURITY ALERT: on URL: www.feelinsonice.com:443
2019/04/26 08:04:50 kid1| SECURITY ALERT: Host header forgery detected on local=35.201.121.164:443 remote=10.X.X.X:55004 FD 406 flags=33 (local IP does not match any domain IP)
2019/04/26 08:04:50 kid1| SECURITY ALERT: on URL: www.feelinsonice.com:443
2019/04/26 08:04:51 kid1| SECURITY ALERT: Host header forgery detected on local=35.201.121.164:443 remote=10.X.X.X:55010 FD 432 flags=33 (local IP does not match any domain IP)
2019/04/26 08:04:51 kid1| SECURITY ALERT: on URL: www.feelinsonice.com:443

378

19.1 Legacy Series / Re: [Solved] Rules do not get applied - Old rules still active while new in gui

« on: April 26, 2019, 07:27:18 am »

Thanks. You are right. Maybe an BSD issue in this case. But as long as not fixed there, your patch prevents issues with opnsense. 

379

19.1 Legacy Series / Firewall logging stopped, live view shows outdated entries only

« on: April 25, 2019, 04:08:14 pm »

Message moved to new threat. Nobody reads new problems in threads with [Solved] tag.

Moved to: https://forum.opnsense.org/index.php?topic=12555.0

380

German - Deutsch / Re: Alias per URL aktualisieren

« on: April 25, 2019, 10:14:05 am »

Vielleicht geht dies ja per Alias API, gibt es dort irgendwelche Anleitungen für? Vielleicht auf wo ich Dateien dazu auf der OPNsense finde?

Also ich fand kein API für Aliase in der Doku. Außer es wäre noch undokumentiert:
https://wiki.opnsense.org/development/api.html

381

German - Deutsch / Re: Webproxy Urlfilter für http und https

« on: April 25, 2019, 10:11:49 am »

Hallo, danke für die schnelle Reaktion.
Gibt es für das erstellen und einbinden der Wpad eine Anleitung; Und verstehe ich das richtig, die Wpad kann per DHCP an den jeweiligen Client automatisch verteilt werden ohne das am Browser etwas eingetragen werden muss?

Die WPAD-Datei kannst Du über OPNsense direkt erstellen lassen. Services: Web Proxy: Administration: Proxy Auto-Config. Mit 19.1.5 wird auch die Reihenfolge der Proxies beibehalten.

Da die WPAD zumindest in der DNS-discoverten Variante per HTTP erwartet wird, habe ich eine Anleitung geschrieben, wie dies auch klappt, wenn man HTTPS oder einen alternativen Port für die WebGUI seiner opnSense nutzt.

https://forum.opnsense.org/index.php?topic=12026.0

382

19.1 Legacy Series / Re: [Solved] Rules do not get applied - Old rules still active while new in gui

« on: April 25, 2019, 08:17:50 am »

Code: [Select]

04-24-19 17:01:46 [ There were error(s) loading the rules: /tmp/rules.debug:80: interface name too long - The line in question reads [80]: rdr on GRPStudentsNetwork inet proto tcp from {(GRPStudentsNetwork:network)} port $Port_unprivileged to {any} port {80} -> 127.0.0.1 port 3128 # redirect traffic to local proxy (IPv4 only) ]
What is the maximum length of interface name or firewall group name? Shouldn't be there a length check when entering a interface name, so that this error could not happen?

383

19.1 Legacy Series / Re: Unable to import LDAP users

« on: April 24, 2019, 09:43:35 pm »

Using TLS/SSL for LDAP? I always set it to plain for import and afterwards back to TLS.
With encryption activated, i never could import.

384

19.1 Legacy Series / [Solved] Rules do not get applied - Old rules still active while new in gui

« on: April 24, 2019, 04:53:29 pm »

I am just setting up a new ha cluster. Added many interfaces and configured the CARP.

Now I finally reached the stage where I can set up rules. For installation I added a temporary allow all rules which I already removed and replaced with more granular ones.

I wondered why everything is still possible and the redirect to proxy is not triggered.

Now I made a

Code: [Select]

pfctl -sr and I just see my old temporary allow all rule. No matter what I do, the rules in gui are not applied to pf. Any known new issues in 19.1.6? How can I force the gui to sync rules to pf?

Update
Rebooted machine and now: no rules at all.

Code: [Select]

#pfctl -sr

Code: [Select]

#pfctl -sn
is empty 

385

German - Deutsch / Re: Invert Rule um den Traffic zum Internen Netzwerk zu blocken

« on: April 24, 2019, 11:06:47 am »

Sorry, den Netzaufbau vergessen :/

Code: [Select]

Internet --- Fritzbox (LAN 192.168.233.0/24) --- [WAN] --- opnsense --- [LAN] 192.168.255.0/24

Also hat Deine Fritzbox auch eine Adresse aus dem 192.168.233.0/24-Netz? Wenn ja, dann mußt Du die vermutlich noch erlauben, bevor Du den Rest des Netzes blockst.

386

German - Deutsch / Re: Webproxy Urlfilter für http und https

« on: April 24, 2019, 09:30:59 am »

Hast du Erfahrung mit wpad? Bei macOS, iPhone und Android bin ich da vorsichtig, bzw. hab mich noch nicht getraut

Arbeite hier nur mit wpad. Funktioniert prima. Zumindest auf Geräten mit 'nichtmobilem' Betriebssystem, sprich Windows, MacOS. Die meisten Browser unterstützen es und selbst der Windows-Update-Client.
Bei iPhone kann ich es jetzt gar nicht sagen, aber Android funktioniert leider nur mit transparenten Proxy. Da kann man zwar ab 4.4. eine proxy.pac URL statisch hinterlegen, dann wird auch automatisch erin Proxy für das Netz konfiguriert, aber gerade das Autodiscovery macht es bei WPAD ja so charmant. Weil man zwischen Netzen wechseln kann ohne was eintragen zu müssen.

Am besten eben die Kombi aus WPAD und transp. Proxy. Damit deckst Du alles ab und kriegst jeden Zugriff über den Proxy gebügelt, aber da die Geräte mit WPAD sich des Proxies bewußt sind, treten hier dann auch weniger Fehler auf, da die Anfragen gleich Proxykonform gestellt werden.

Und spätestens bei IPv6 und der Same-Scope Policy muß man mit transp. Proxy und opnSense schon tricksen bzw. manuell in Konfiguration eingreifen, da der Squid

• in opnSense nicht auf IPv6 Adressen des Interfaces lauscht. Nur IPv4 und CARP Aliase
• der Redirect nicht nach ::1, sondern die IPv6 Adresse der Schnittstelle erfolgen muß.
• mit der Intercept-Option auf der IPv6-Adresse versehen werden muß

387

German - Deutsch / Re: Ausführung eines Scriptes auf der OPNsense per API

« on: April 23, 2019, 09:57:53 pm »

API doc:

https://docs.opnsense.org/development/api.html

Sehe auf dem ersten Blick nichts, was Scripte oder Interfaces steuert. Könntest es als Cronjob anlegen und dann über Cron-API aktivieren/deaktivieren.

388

German - Deutsch / Re: Invert Rule um den Traffic zum Internen Netzwerk zu blocken

« on: April 23, 2019, 09:53:27 pm »

Die Frage ist: wo hängt dein Testnetz und wie ist es physikalisch vom LAN getrennt? OPT1, VLAN?

Code: [Select]

Internet --- Fritzbox --- [WAN] --- opnsense --- [LAN] 192.168.233.0/24

389

German - Deutsch / Re: Webproxy Urlfilter für http und https

« on: April 23, 2019, 09:45:12 pm »

Es wird immer davon geredet, dass der Proxy am Client hinterlegt werden muss, kann dies nicht automatisch erfolgen?

Entweder transparenten Proxy konfigurieren oder den Proxy über WPAD (DNS o. DHCP) den Clients automatisch zuweisen. Gerade in Verbindung mit HTTPS ist letzteres besser.

390

19.1 Legacy Series / Re: Captive Portal does not redirect to login page

« on: April 23, 2019, 03:19:00 pm »

Sounds like similar problem in this thread:

https://forum.opnsense.org/index.php?topic=12109.msg57508