Messages

121

German - Deutsch / Re: Dieses Abbild ist nicht startfähig usw. USB Problem

« on: December 29, 2021, 08:02:39 am »

Das Problem war Acronis. Ich hatte eine WD-Version mit Ransomware Schutz usw. vor ein paar Monaten installiert. Nach Deinstallation läuft es jetzt ohne Probleme.

Würde mal diese ganze magische Software runterschmeißen

Gesendet von meinem M2012K11AG mit Tapatalk

122

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 29, 2021, 07:54:03 am »

Ich hab jetzt alle Einstellungen durch auf der Weboberfläche von suricata. Wem noch etwas anderes einfällt, der möge das bitte hier reinschreiben. Ansonsten gehe ich davon aus, dass suricata auf der APU einfach nicht lauffähig ist. Besten Dank an alle Rückmeldungen.

Weiß nicht wieviel RAM deine Hardware hat.

Aber alles unter 8GB ist schon sehr kritisch und eigentlich nicht auf dauer lauffähig.

Bevor du aber neue Hardware kauft, denk drüber nach ob du Suricata wirklich brauchst.
Es ist schließlich auch kein magisches Tool was nur schlechten Traffic Filtert, hat genau so schwächen oder macht in einigen Bereichen auch einfach keinen Sinn.
Oft wird Suricata als Must Have dargestellt, welches immer aktiv sein muss... Das ist nicht der Fall....

Hast du Beispielsweise keine Ports auf dem WAN offen, muss dort meine Ansicht nach auch kein Suricata laufen.


Gesendet von meinem M2012K11AG mit Tapatalk

123

German - Deutsch / Re: ein kurzes Hallo mal in die Runde

« on: December 28, 2021, 09:10:58 pm »

Herzlich Willkommen hier im Forum

Gesendet von meinem M2012K11AG mit Tapatalk

124

German - Deutsch / Re: Anfänger mit Hardwarefragen J1900 od. D1521D4I

« on: December 27, 2021, 04:37:07 pm »

*kopfschüttel* na dann viel glück mit dieser hardware.
nur keine fragen zu vpn/performance. wenn dir was langsam vorkommt. bitte keine fragen (es liegt an der verwendeten hardware). viel glück (sorry, das muss raus, ich kann nicht verstehen das menschen eine sense nutzen/einsetzen wollen aber zu geizig sind sich ordentliche hardware zu kaufen, was soll der blödsinn, ich erwarte keine antwort das war nur laut gedacht)

Dir Hardware mag zwar für dich nicht ausreichend sein, dennoch sehe ich da nicht den Fall es pauschal als blödsinn abzustempeln.

Klar schafft man damit keine 100Mbit über die VPN, macht aber nix, wenn man dies nicht benötigt.
Habe oft Hardware mit einem J1900 am laufen, dort gehen dann meist nur ein paar RDP Verbindungen drüber, da reicht das vollkommen und alles andere wäre in diesem Fall halt blödsinn.

Gesendet von meinem M2012K11AG mit Tapatalk

125

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 27, 2021, 11:05:30 am »

Code: [Select]

Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)

Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI



Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?

Dazu kann ich leider nichts sagen, weil ich die Dienste nicht kenne. Ist mehr oder weniger Standardkonfiguration.
Die aktivierten Dienste habe ich oben aufgeführt (bis auf suricata - der ist deaktiviert..).

Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?

Code: [Select]

Services: Intrusion Detection: Administration
Enabled (checked)

IPS mode (unchecked)

Promiscuous mode (unchecked)

Enable syslog alerts (checked)

Enable eve syslog output (unchecked)

Pattern matcher (Aho-Corasick)

Interfaces (WAN)

Rotate log (Daily)

Save logs (4)


Wie ist dein WAN Interface konfiguriert?PPPOE?

Meine da gab's mal Probleme

Gesendet von meinem M2012K11AG mit Tapatalk

126

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 27, 2021, 10:21:20 am »

Besten Dank für die Info.

Das Logfile ist leider nicht aussagekräfitg:

Code: [Select]

2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
Die Uhrzeiten markieren, wann ich suricata als Dienst manuell wieder aktiviert habe, nachdem es sich selbst deaktiviert hat. Jemand eine Idee, warum es sich so verhält?

Welche OPNsense Version?
Welche Hardware?
Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?
Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?

Gesendet von meinem M2012K11AG mit Tapatalk

127

German - Deutsch / Re: suricata deaktiviert sich (IDS /IPS) automatisch

« on: December 27, 2021, 08:14:23 am »

Unter Dienste->Einbruchserkennung->Protokolldatei findest du die suricata logs

128

German - Deutsch / Re: Routing-Probleme bei Peer-to-Peer (SSL/TLS) VPN

« on: December 26, 2021, 06:24:20 pm »

Erstellt den VPN Server mal neu und dann direkt mit Peer2Peer TLS.

Kommt es dann immernoch vor?

Gesendet von meinem M2012K11AG mit Tapatalk

129

German - Deutsch / Re: Wann blockiert OPNsense?

« on: December 26, 2021, 11:59:37 am »

Die Verbindungen bekommen alle einen Status zugewiesen, dieser bleibt so lange offen bis die Verbindung getrennt wird, erst dann greifen die neuen Regeln.

Heißt du lässt den Ping laufen und änderst dabei auf die Block Regel, der offene Status wird dabei nicht angefasst, also läuft auch der Ping weiter.

Beendest du den Ping und startest diesen neu, wird auch eine neue Verbindung aufgebaut, also greift die Firewall Regel.


https://de.m.wikipedia.org/wiki/Stateful_Packet_Inspection


Gesendet von meinem M2012K11AG mit Tapatalk

130

German - Deutsch / Re: MAC-Filter + DHCP auf opnsense oder auf AccessPoint

« on: December 23, 2021, 09:53:53 pm »

Im Grunde ist ein Radius nicht so viel Aufwand

1. FreeRadius auf der OPNsense installieren
2. Gültiges TLS Zertifikate (nutze dort ZeroSSL da LetsEncrypt bei mir mit Android Probleme machte)
3. DNS an den jeweiligen Radius Schnittstellen anpassen, damit der DNS Name direkt zum Radius Server aufgelöst wird
4. Radius im WLAN AP hinterlegen

Das sollte es eigentlich gewesen sein.

Gesendet von meinem M2012K11AG mit Tapatalk

131

General Discussion / Re: Configuring a shared folder on the Opnsense device

« on: December 22, 2021, 05:55:38 pm »

But I don't think a Firewall is a good system to run a Network Share on it.


Gesendet von meinem M2012K11AG mit Tapatalk

132

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 18, 2021, 07:39:33 pm »

Als Quelle noch LAN Network statt LAN Address

Gesendet von meinem M2012K11AG mit Tapatalk

133

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 18, 2021, 07:18:08 pm »

Firewall: NAT: Outbound

Ok dort fehlt das OutboundNAT, habe ich mir schon gedacht. Wir manchmal nicht mit erstellt, keine Ahnung wieso.

Setze es dort mal auf Hybrid und erstelle dann eine neue Regel mit folgenden Daten

Schnittstelle: WAN
Quelle: deine lokalen Interfaces (LAN, DMZ,...)
Ziel: ANY
Map Adresse: WAN

Damit solltest du dann ins Internet kommen

Gesendet von meinem M2012K11AG mit Tapatalk

134

German - Deutsch / Re: VoIP an FB hinter Opnsense und DG

« on: December 18, 2021, 07:09:32 pm »

Das öffnen der Ports mit Hilfe von Portweiterleitungen ist da nicht notwendig und daher ein unnötiges Sicherheitsrisiko.
Sollte also vermieden werden

Gesendet von meinem M2012K11AG mit Tapatalk

135

General Discussion / Re: Wifi to dmz

« on: December 18, 2021, 07:04:37 pm »

You'll need ALLOW Rules on the Interfaces to Allow Traffic in the other subnet.

Normally on LAN there is already an Allow All Rule.
When you create a new Interface, everything will be blocked by default.
But don't create allow all Rules on each Interface, because that wouldn't make sense...

Gesendet von meinem M2012K11AG mit Tapatalk