Messages

16

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 08:35:05 pm »

Ich dnake dir erstmal für deine Hilfe. Das routing funktioniert, sonst würde es generell nicht gehen. floating regeln , sind ja auch nur auf die Firewall bezogen und nicht auf das routing.
Habe es jetzt per pfsense genau so umgesetzt und da geht es sofort. Ich muss mir das noch einmal genau auf der opensense anschauen, da ich diese lieber benutzen möchte.

17

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 05:27:55 pm »

die erste route setzt ja das wg selber , durch die Angabe der Netze.

Ich verstehe nicht warum nur bei einer floating rule ,der ping in die einer richtung geht, obwohl ohne floating rule, es mir in der FW LoG als Pass angezeigt wird und auch in beiden wg Schnittstellen ankommt (tcpdump) und der reply ja da ist.

Kann das ein BUG sein?

18

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 04:55:56 pm »

route gesetzt, nat regeln raus. von der anderen Seite kann ich den LAn PC anpingen.

Vom LAN PC bekomme ich immer noch nur ein PING hin, wenn bei Floating icmp allow erstelle. Obwohl ich die Pakte in den Schnittstellen sehe.

WG Regeln sind ipv4* all. Das sollte doch dann gehen oder?

19

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 03:58:25 pm »

 Die NAT Regel hatte ich , das er alles was von bestimmten lan ips kommt , auf die Wireguard Endpoint (peer) übersetzt, weil er sonst ja mit seine 192 IP pakete senden würde.

Und wahrscheinlich hast du damit mir die Augen geöffnet und ich müsste ein statische route auf der anderen Seite erstellen.

Hier erstmal der Aufbau:

Code: [Select]

      WAN / Internet
            :
       192.168.178.1     ------------------------    LAN 192.168.178.0/24
            :
      .-----+-----.
      |  Gateway  |                                          |
           
      '-----+-----'
            |
       192.168.178.47
            |
      .-----+------.   WG Interface
      |  OPNsense  +---------------
      '-----+------'   172.16.1.8          (172.16.0.0/28 und 172.16.1.0/28 erlaubt)
           


  Client soll über die Sense 192.168.178.47 ins lan Netz (172.16.1.0) hinter einer anderen Opnsense per  wireguard.

  Opnsense hat eine Verbindung zur anderen OPnsense per wg, mit der IP 172.16.1.8 und darf in die Netze 172.16.0.0 und 172.16.1.0)


 Ich hoffe das macht es etwas verständlicher.

20

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 01:08:32 pm »

 Mit dem Nat habe ich rückgängig gemacht, weil die masquierung gebraucht wird, zwecks endpunkt.

 Nur mit den Regeln stimmt noch etwas nicht.

Kannst du mir deine mal zeigen?

 Wenn ich ipv* auf wg any erlaube und pinge sehe ich das es passed wird , es kommt aber keine Antwort. Im dump sehe ich aber, dass an die WG schnittstelle ein reply kommt.

 Oder klappt eventuell dann nicht das rückwärtige NAT , das er es zurück schreibt für den client?

setzte ich die floating rule ipv* any geht es aber und ich sehe die gleichen Pakete.

Habe mal zwei Bilder angehangen, setzt ich die float icmp regel geht der ping, deaktiviere ich geht er nicht mehr. tcdump zeigt ihn. und in den Bilder sehe ich kein Unterschied.

21

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 11:33:36 am »

Danke für nachschauen.

Beim Floating meinte ich, setzte ich da ein ipv4* any dann kann ich mich verbinden. Deaktiviere ich es geht es nicht, sehe da aber auch nichts was blockt, sondern im log steht pass und im dump sehe ich auch antworten .

Kannst du mir den letzten Satz etwas genauer darstellen? Also NAT Regel löschen und auf dem WAN die WG Netze hinzufügen?

bei den autmoatischen rules müssten die wg netze doch hinzugefügt werden oder?, sehe gerade das sie das nicht sind, eventuell durch meine nat rule. lösche ich mal direkt und schaue ob sie dann erstellt werden.

22

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 11:13:48 am »

Habe es jetzt die regeln nur im Gruppen Interface angelegt.

Muss ich dann den Endpoint anders einstellen, damit kein NAT von Nöten ist?

23

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 11:05:25 am »

Danke für deine Antwort.

NAT dachte ich , damit er ausgehend über die WG Schnittstelle sendet (IP) , da ja nur eine IP erlaubt ist im Endpoint.

Ich hatte es zuerst im gruppen die Regeln gesetzt und danach eine Schnittstelle hinzugefügt.

Mittlerweile habe ich bei beiden gesetzt.

soll ich die Schnittstelle löschen?

24

German - Deutsch / wireguard rdp nur mit floating regel

« on: February 22, 2021, 10:45:54 am »

Hallo Ich habe auf 2 opnsense ein server / roadwarrior erstellt. die verbindung funtioniert, ping usw .

Probiere ich jetzt auf einen Gerä was dahinter ist per rdp zuzugreifen, geht das nur wenn ich in Floating ein all setzte. Ich sehe aber ohne die Reegel keine Blocks, sodas sich nicht weiß , welche Schnittstelle das Problem ist. Per tcpdump sehe ich das die Pakete beantwortet werden. Hat jemand einen Tipp wie ich am besten vorangehen kann um das Problem zu lösen?

25

German - Deutsch / Re: Webproxy blacklist

« on: September 18, 2020, 11:30:40 am »

Also umgehst du mit den ALIAs und den Firewall Regeln für die Whitelist den Proxy, wenn ich es richtig verstanden habe.

Dadurch würde aber der Vorteil des caching usw wegfallen.

Beim squid3 kann man zb einstellen , dass alles gesperrt ist , außer die ausnahmen in der Whitelist.
so in der Art hatte ich es mir gedacht.

26

German - Deutsch / Re: Webproxy blacklist

« on: September 18, 2020, 08:48:16 am »

müsste das über einen regex eintrag zu regeln sein?

Wie löst ihr es denn generell mit der Blacklist?

27

German - Deutsch / Webproxy blacklist

« on: September 17, 2020, 11:55:30 am »

 
Hallo,

Gibt es denn die Möglichkeit alle Seiten default zu sperren und nur die speziell über die whitelist eingetragenen Seiten zu erlauben?


Grüße

28

German - Deutsch / Re: Opnsense Proxy produktiv nutzbar?

« on: May 14, 2020, 07:23:49 am »

Danke. Ich bekomme aber immer ein TCp Deny auf die Seite die ich freigebe.

Proxy mit Transparent aktiviert und die NAt Rules gesetzt für http und https .

der client hat die sense als gateway, da er die anfragen für https ja umleitet muss ich , wenn ich es richtig verstanden habe, nicht noch den proxy explizit setzten oder?

29

German - Deutsch / Opnsense Proxy produktiv nutzbar?

« on: May 13, 2020, 10:46:41 am »

 

Hallo,

ich quäle mich etwas mit dem Proxy von Opnsense herum und wollte wissen ob das Szenario jemand benutzt oder überhaupt machbar ist.

Opnsense hinter fritzbox wan / lan

lan nur zu lan erlaubt

 Und nun soll der Proxy die ausnahmen (teamviewer, bestimmte seiten) per whitelist erlauben . Defaukt soll dann halt alle seiten blocken , außer die in der Whitelist stehen.

ich möchte nicht den ssl traffic einsehen (rechtlich)

kann ich trotzdem den transparenten proxy benutzen oder nur den normalen und dann im system hinterlegen?

Grüße

30

German - Deutsch / Geoblock sinnvoll?

« on: June 20, 2019, 09:27:20 pm »

 Hallo,

ich sehe momentan viele fehlversuche von ssl attacken zb im haproxy.
wäre es sinnvoll für bestimmte Länder einen geoblock zu machen?

macht ihr das oder gibt es sinnvollere Alternativen?

Ich habe mir jetzt einen geoblock zb von Asien erstellt der auf die webports zeigt.  Ich möchte mich einmal bedanken bei den Entwicklern, super einfach und gut umgesetzt.

Mich würde weiterhin interessieren ob ihr Geoblock einsetzt? Danke