Messages

106

21.7 Legacy Series / Re: 8021x WLAN Android 11

« on: January 17, 2022, 05:32:13 pm »

i use a self signed cert ... created on the opnsense firewall

radius-ca  (my root CA)
radius-intermediate-ca (intermediate-ca) used to sign Server Cert & User Cert
radius-server
user

It looks like Android is only Accepting Certs which are in the System Root-CA therefore Trusted Root-CA´s

I would like to Implement my own CA without any MDM as this is my home network

It will only work if your Clients Trust that certificate.
1. Option: Import the CA to your Clients certificate store
2. Option: Use something like a ZeroSSL certificate for that

107

German - Deutsch / Re: Hilfe bei viele Fragen um das Netzwerk

« on: January 17, 2022, 05:27:58 pm »

Und wo sind da jetzt die Fragen?
Ob OPNsense das abdecken kann? Ja nur für das WLAN musst du halt auf AccessPoints mit VLAN Unterstützung zurückgreifen.

108

General Discussion / Re: CrowdSec

« on: January 14, 2022, 01:36:35 pm »

Out of curiosity, is there any update here? I cannot yet find an official package/plugin in the repo, can I?
And can I (later) use CrowdSec next to surricata as an IPS system or am I mixing things up here?

There will be a Plugin in the next time

https://twitter.com/Crowd_Security/status/1480530170595450882?t=7T6R3KHoi56UdDaWWIjy3g&s=19

109

German - Deutsch / Re: Freeradius EAP-TLS: Keine Überprüfung der Zertifikate

« on: January 07, 2022, 10:20:19 am »

so weit ich weiß, ist das Zertifikat bei EAP nur für die absicherung der Verbindung, nicht für die Identifizierung.

Es ist also Client Sache ob er das Zertifikat prüft, dem vertraut oder eben nicht.
Wie bei einer Webseite mit https also...

110

21.7 Legacy Series / Re: Help needed with Domain based routing

« on: January 06, 2022, 08:58:39 pm »

Make sure Client and OPNsense are using the same DNS Server

Create a Gateway with the Remote VPN Tunnel IP

Create an Alias with the FQNDs you want to route.

Create a Firewall Rule on the first Interface where the traffic matches (normally LAN) (rule must be before your normal Allow Rule) with

Source; Interface Network
Destination: the created Alias
Gateway: The created Gateway

111

German - Deutsch / Re: OPNsense hinter 6591 Cable KDG

« on: January 03, 2022, 09:30:46 am »

Hi,

1. doppeltes NAT ist erstmal kein Problem

2. Solange deine OPNsense eine private IP Adresse auf dem WAN bekommt (Zwischennetz zwischen FB und OPNsense) und nicht die Einwahl selbst übernimmt, wirst du um doppeltes NAT nicht wirklich umher kommen.


Also entweder bekommst du die FB in einen Bridge Modus, hast ein Kabelmodem oder lebst mit doppeltes NAT.

Deine Lösung würde das ganze sicherlich vermeiden, würde ich persönlich aber nicht laufen lassen, da es immer wieder zu anderen Probleme führt.

112

German - Deutsch / Re: ACME Client

« on: December 29, 2021, 09:35:33 pm »

Löst deine OPNsense die Domain auch richtig auf?

113

21.7 Legacy Series / Re: Always hitting the Default deny rule.

« on: December 29, 2021, 09:31:08 pm »

Please provide a network plan

114

German - Deutsch / Re: OpenVPN mit Virtual IPs (IPv4 und IPv6)

« on: December 29, 2021, 09:24:46 pm »

am besten suchst du dir einen dienstleister der dich da unterstützt

Danke das hat mir jetzt weitergeholfen.

Hat nicht unbedingt unrecht

Wäre eine Idee. Könnte ich mal ausprobieren. Danke. Ich hatte noch eine andere Idee: In Proxmox eine weitere Bridge erstellen und die IPv4 und IPv6 Adresse dort dann einstellen und entsprechend in OpenVPN auswählen. Aber irgendwie gefällt mir das alles nicht so wirklich. Wieso kann ich den OpenVPN Server nicht einfach an mehrere Interfaces binden…

Wo ist das Problem den VPN Server auf localhost laufen zu lassen und dann auf den passenden Interfaces eine Portweiterleitung mit der VIP|Port als Ziel? Was gefällt dir da nicht? Regeln musst du so oder so anlegen.
Alternativ kannst du auch "ANY" im VPN Server wählen, dann läuft der auf jedem Interface


Gesendet von meinem M2012K11AG mit Tapatalk

115

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 29, 2021, 09:13:10 pm »

In welchen Fällen siehst du denn eine Notwendigkeit?
Ich nutze WebRTC basierende Anwendungen in einer ansonsten mittelmäßig abgesicherten Umgebung und benötige mehr Informationen was da durchgeht, ohne WebRTC gleich dicht zu machen. Da ist mir jede Hilfe recht und billig.
Und ich lerne die Funktionen der Opensense-Umgebung gerne näher kennen. Softwareseitig habe ich bisher nichts gefunden, was entsprechend filtert bzw. kenne ich mich zu wenig aus.   
@ micneu Dann werd ich mich demnächst ans Backup machen.

Was für WebRTC Anwendungen denn?
Bekannte Anbieter die Ihre Sicherheit halbwegs im Griff haben und mit einem guten Internet Browser?
Da sollte der Angriffsvektor ja doch recht klein sein.
Mal davon ab ist es auch dann verschlüsselter Traffic wo Suricata nicht reinschauen kann.

Gesendet von meinem M2012K11AG mit Tapatalk

116

German - Deutsch / Re: OpenVPN mit Virtual IPs (IPv4 und IPv6)

« on: December 29, 2021, 08:44:46 pm »

Hallo zusammen,

ich bin relativ neu bei opnsense aber komme mit dem System eigentlich schon ganz gut zurecht. Leider hänge ich derzeit an einem Punkt und weiß nicht wie ich das Problem lösen kann:

Ich nutze die Opnsense auf einem Hetzner Server mit Proxmox. Das IP Routing klappt soweit dank den Forenbeiträgen. Nun benötige ich auf meiner opnsense allerdings mehrere openVPN Server für verschiedene Anwendungszwecke. Diese werden von anderen Systemen zu opnsense migriert und ich kann aufgrund der Anzahl der Clients nicht mal eben den Port ändern.

Zwei dieser OpenVPN Server nutzen als IP eine in opnsense als virtuell hinterlegte IP. Hier habe ich nun das Problem, dass ich als Schnittstelle immer nur eine IP auswählen kann. Ich benötige allerdings auf jedem der Server die virtuelle IPv4 Adresse, als auch eine IPv6 Adresse.

Hat hier jemand eine Idee wie ich dies lösen kann? Ich danke Euch im Voraus :-)

Beste Grüße
cdn

Den VPN Server auf localhost und einem anderen Port  hören lassen und dann passende Portweiterleitungen anlegen könnte klappen.



Gesendet von meinem M2012K11AG mit Tapatalk

117

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 29, 2021, 08:14:32 pm »

hauptsache suricata deaktiviert sich nicht. Ich streame höchstens Musik als Privatanwender und da hat es bisher wenig bis kein Problem gegeben.

Kenne dein Netz zwar nicht.
Aber wenn du hauptsächlich nur Musik Streamst sehe ich da jetzt keinen Grund für Suricata.
Warum glaubst du denn, dass du es unbedingt benötigst?


Gesendet von meinem M2012K11AG mit Tapatalk

118

German - Deutsch / Re: Firtzbox Client VPN möglich

« on: December 29, 2021, 08:05:07 pm »

Würde an deiner Stelle ehr OpenVPN oder Wireguard nutzen.

Aber vielleicht klappt dort der vorletzte Beitrag den ich nach 5 Sekunden Google gefunden habe
https://forum.opnsense.org/index.php?topic=14865.0

Gesendet von meinem M2012K11AG mit Tapatalk

119

Virtual private networks / Re: No HTTPS over OpenVPN Site-to-Site Tunnel

« on: December 29, 2021, 04:30:28 pm »

Please provide a network plan. It will make the troubleshooting a lot easier

120

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 29, 2021, 04:28:10 pm »

Danke an franco, der swap hats gebracht unter System -> Misc (/system_advanced_misc.php ist der "Pfad"). Reboot und mit der Swappartition läuft es stabil! Sind nur 2GB mehr, aber es läuft!

dann würde ich auf dauer die Swap Partition auf eine extra Festplatte auslagern, damit nicht deine Systemplatte in kurzer Zeit den Geist aufgibt.

Mal davon ab scheint dein System für dein Vorhaben unter dimensioniert zu sein