Messages

451

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 24, 2019, 08:43:55 am »

Das Problem was ich an solchen Anleitungen finde, ist immer das man oftmals zwar eine Anleitung hat um sich zu orientieren, aber ob es bei einem dann auch wirklich genau gleich funktioniert ist immer etwas fragwürdig... Habe z.B. mehrere (>5) OPNsense im Einsatz... Davon funktioniert keine wie die andere... Jede hat hier oder da ein paar Schrauben die man anderst anziehen muss...
Zudem ist es auch oftmals die Frage ob ne Fritzbox oder ähnliches davor hängt, wie es wirklich hinter der Struktur aussieht etc...
Ich habe z.B. meine Konfig etwas komplizierter gemacht, wenn man jedoch versteht wie es funktioniert finde ich es ganz einfach. Habe es so sogar schon einigen Kollegen verständlcih gemacht


Aber poste doch einfach mal deine Config, änder die privaten Daten wenn du nicht willst wie deine Domain heißt und dann schauen wir mal wie gut wir hinkommen
Es führen ja bekanntlich auch viele Wege nach Rom.

452

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 24, 2019, 08:18:37 am »

Hallo wirehire


Naja.. Zeig uns doch mal her wie deine Config aussieht und wir schauen mal wie wir die Problemchen lösen.
Habe hier zwar auch etwas ähnliches in meiner Config stehen mit 3 Instanzen + Let'sEncrypt, aber da steht noch um einiges mehr weil das eine gut gewachsene Struktur in letzter Zeit war.
Dann können wir sicher schauen wo der Schuh drückt.

Beim letsencrypt plugin stand immer pending. Hatte aber gesehen das er es über port 444 probiert hat. (hatte die opnsense Gui https auf den Port gelegt wie es in der Anleitung geschrieben stand).

Naja.. Aber eigentlich will Let'sEncrypt doch auf Port 80 für die Authentifizierung?!?




Schreib doch mal deine Config wie du für gut empfindest und lade diese dann am besten in Textform hoch. Befehle stehen ja hier im Thread.

453

German - Deutsch / Swap file / RAM disks

« on: May 23, 2019, 03:09:00 pm »

Hallo zusammen


was bringen denn die RAM Disk einstellungen bei "System -> Settings -> Miscellaneous" ganz unten?
Ist es schlau diese zu aktivieren? Klar natürlich nur wenn genug RAM vorhanden ist...


Grüßle

454

German - Deutsch / Re: Internet

« on: May 21, 2019, 12:03:47 pm »

Ja geht...
Legst unter "Firewall -> Settings -> Schedules" dein Zeitbereich an und weißt dann der dementsprechenden Regel diesen Scheduleeintrag zu (Drittletzte Einstellung)

455

German - Deutsch / Re: ELK Stack / Logging / Rollup Job

« on: May 21, 2019, 07:46:50 am »

Hallo Fabian


habe doch gerade gedacht... Das Profilbild kennt man doch irgendwoher...
Und siehe da... Ich mach das aktuell mit deiner opnsense-logstash-config


Da ich leider jedoch relativ wenig Ahnung von der ganzen Materie habe wegen dem Filtern etc.. Hast mir da vllt einen Tipp?


Meine aktuelle config sieht (bis auf den Port) wie dein Original aus.

Code: [Select]

input {
tcp {
port => 5140
type => syslog
}
udp {
port => 5140
type => syslog
}
}


filter {
if [type] == "syslog" {
grok {
match => { "message" => "<%{POSINT:syslog_pri}>%{SYSLOGTIMESTAMP:syslog_timestamp} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
}
mutate { strip => ["syslog_message"] }
if [syslog_program] == "devd" {
if "!system=CAM" in [syslog_message] {
grok {
match => {"syslog_message" => "Processing event %{QUOTEDSTRING:data}"}
}
kv {source => "data"}
mutate { remove_field => 'data' }
}
drop { }
}
if [syslog_program] == "filterlog" {
opnsensefilter { field_name => "syslog_message" }
geoip { source => "source" }
if [geoip.ip] {
geoip {
source => "source"
target => "destination"
}
}
if ![geoip.ip] {
geoip { source => "destination" }
}
}
if [syslog_program] == "suricata" {
geoip { source => "src_ip" }
if [geoip.ip] {
geoip {
source => "src_ip"
target => "dest_ip"
}
}
if ![geoip.ip] {
geoip { source => "dest_ip" }
}
}
if [syslog_program] == "opnsense" {
if "for" in [syslog_message] and "from" in [syslog_message] {
mutate { add_field => {'os_type' => 'auth'} }
if "from:" in [syslog_message] {
grok {
match => {
"syslog_message" => "%{DATA:scriptname}: %{DATA:login_status} for user '%{USERNAME:username}' from: %{DATA:ip}"
}
}
}
else {
grok {
match => {
"syslog_message" => "%{DATA:scriptname}: %{DATA:login_status} for '%{USERNAME:username}' from %{DATA:ip}"
}
}
}
}
}
if [syslog_program] == "configd.py" {
if "message" in ["syslog_message"] {
grok {
match => {
"syslog_message" => "message %{UUID:uuid} \[%{DATA:action_name}\] returned %{WORD:status_word}.*"
}
}
}
if [syslog_message] =~ "^\[.+?\]" {
grok {
match => {"syslog_message" => "\[%{UUID:uuid}\] %{GREEDYDATA:configd_message}"}
}
}
if [syslog_message] =~ "^\S+* generated \S+$" {
grok {
match => {"syslog_message" => "^%{NOTSPACE:component_name} generated %{NOTSPACE:file_name}$"}
}
}
#mutate { remove_field => 'syslog_message' }
}
if [syslog_program] == "/usr/sbin/cron" {
grok {
match => {"syslog_message" => "\(%{USER:user}\) CMD %{GREEDYDATA:cron_message}"}
}
mutate { remove_field => 'syslog_message' }
}
if [syslog_program] in ["ospfd", "ospf6d"] {
if ":" in [syslog_message] {
grok {
match => {"syslog_message" => "%{DATA:component}: %{GREEDYDATA:sub_message}"}
}
}
if ":" in [sub_message] and "# Areas" not in [sub_message] {
grok {
match => {"sub_message" => "%{DATA:subcomponent}: %{GREEDYDATA:msg}"}
}
mutate { remove_field => "sub_message" }
mutate { rename => {"msg" => "sub_message"} }
}
if [syslog_message] =~ /^\S+\(\S+\).*/ {
grok {
match => {"syslog_message" => "%{NOTSPACE:component}\(%{NOTSPACE:function_name}\) %{GREEDYDATA:sub_message}"}
}
}
if [component] == "SPF" {
grok {
match => {"sub_message" => "Scheduled in %{NUMBER:scheduled} msec"}
}
}
if [component] == "SPF processing" {
grok {
match => {"sub_message" => "# Areas: %{NUMBER:number_areas}, SPF runtime: %{NUMBER:runtime_sec} sec %{NUMBER:runtime_usec} usec, Reason: %{GREEDYDATA:reason}"}
}
}

}
#"SPF processing: # Areas: 1, SPF runtime: 0 sec 0 usec, Reason: R+, R-"
#"OSPF6d (Quagga-1.2.1 ospf6d-0.9.7r) starts: vty@2606"
if [syslog_program] == "zebra" {
#"client 18 says hello and bids fair to announce only ospf6 routes"
}
}
}


output {
#stdout { codec => rubydebug }
elasticsearch {
hosts =>  "http://localhost:9200"
index => "logstash-opnsense-syslog-%{+YYYY.MM.dd}"
}
}


456

German - Deutsch / ELK Stack / Logging / Rollup Job

« on: May 20, 2019, 10:11:27 am »

Hallo zusammen


an die Leute die sich mit ELK auskennen oder es sogar auch zum Loggen der FWLog benutzen:


Bin gerade dabei eine kleien Anleitung zu schreiben um die FWLogs mit ELK zu speichern und zu durchsuchen...
Kann mir jemand helfen beim einstellen des Rollup Jobs damit ich nur noch 10 Felder anstatt der kompletten 38 Felder speichere?
Brauche bei mir aktuell ~3 GB/Tag zum speichern der 38 Felder... Hoffe dies kann ich so reduzieren.
Bekomme es selbst leider nicht hin...

Danke und Gruß

457

German - Deutsch / Re: zu erwartende Geschwindigkeit in der VM?

« on: May 20, 2019, 07:49:04 am »

Hi catalpa


habe meine OPNsense ebenfalls auf nem Proxmox am Laufen mit nem i3-4030U wobei die OPNsense nur 2 Kerne bekommt und einen Gibibyte RAM.
Habe zuhause eine 400/12 Leitung und selbst bei den vollen 400 Megabit Download lacht sich die OPNsense schlapp...
Ich vermute dein zoneminder versucht auf irgendeine Datei zuzugreifen wo es durch den Container keinen Zugriff erhält. Dann schaukelt sich alles auf....

458

German - Deutsch / Re: aktuelles Zertifikat

« on: May 17, 2019, 11:17:07 pm »

Direkt nachdem die Neuzertifizierung erfolgreich war.

459

German - Deutsch / Re: Firewall-Regeln, Paketzustand new,established, etc.

« on: May 17, 2019, 11:16:21 pm »

Erstelle eine Firewallregel und schau mal ganz unten... da gibts nen Knopf der klappt die erweiterten Einstellungen auf...


Ich denk da wirst du das finden was du suchst

460

German - Deutsch / [SOLVED] Re: Verständisfrage Hochverfügbarkeit

« on: May 16, 2019, 05:26:44 pm »

Also habe es eben gestestet... Schuld an allem war der eine Haken auf der Backup Firewall welchen ich nicht verstecht habe.

Danke nochmals für den Tipp

461

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 16, 2019, 02:32:20 pm »

Mhmmm seeehr komisch....

Was mir nur mal noch testweise weiterhin einfallen würde... Schnapp dir ne Linux Maschine (Debian, Ubuntu etc.) und installier nen Apache oder Nginx drauf und versuch es mal damit...Alles Standart auf Port 80...
Nicht, dass der Fehler Am Backend liegt...
Ansonsten fällt mir aktuell leider nichts mehr ein...


Die Anfragen kommen bis zum HAProxy (somit stimmt die FW das Anfragen bis zum HAProxy kommen) und Standartmäßig darf ja von der FW alles raus. somit sollte die FW ja auch deine Server erreichen...




Neukonfiguration wäre natürlich die andere möglichkeit wobei ich sowas immer unschön finde...

462

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 16, 2019, 07:11:06 am »

Also muss wohl eine andere Problemsuche her...


Du kannst auch PortForwarding und HA Proxy Parrallel benutzen.. Da der HAProxy aktuell dann die "Test" Methode ist, würde ich hier einen anderen Port nehmen wie z.B. 8080.

Firewallregel nicht vergessen zu ändern
Dazu auf den HAProxy -> PublicService gehen und 0.0.0.0:8080 als Listener eintragen und das bestehende Löschen.


Zudem im PublicService mal einen "Default Backend Pool" auswählen und nochmals probieren. Am besten wieder mit einem Blick in die Logs.


Wenn du dann auf den dementsprechenden Backend Pool kommst, wissen wir das der HAProxy richtig mit dem Server kommuniziert. Dann stimmt irgendwas mit dem Regeln nicht...


PS. Falls du und vielleicht die Zukünftigen Leser nicht wissen wie man die Zugriffe direkt über die Konsole/SSH ausliest:

Code: [Select]

Config:   cat /usr/local/etc/haproxy.conf
Zugriffe: clog -f /var/log/haproxy.log


463

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 15, 2019, 01:20:24 pm »

Öööhmmm... Ich hab gar keine Forwarding Regel angelegt....
Ich hab nur ne WAN Regel die erlaubt, dass man via Port 80 (oder in deinem Fall Port 89) auf die FirewallIP darf...


PS. Es gibt bereits einen Alias für die Firewall (This Firewall) hier sind dann alle eigenen IPs dann drin.


Was ich vorschlagen würde:
Lösch die Forwarding Regel udn lege eine Regel im WAN an. Testweise kannst ja mal ne kleine ANY regel anlegen.
Protokol: UDP/ TCP
Source: ANY
Destination: This Firewall
Port: 89


Dann nochmal schauen ob es klappt.. Falls ja dann würde ich eben die Regel noch weiter einschränken indem ich nur die gewünschte "Destination" IP freigeben würde.

464

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 15, 2019, 12:45:31 pm »

Also sieht so aus, als wenn dein Backend Server nicht antwortet...
Wenn du die Server direkt ansprichst... musst du dort auch den Port 89 angeben?
Wird intern SSL verwendet?

465

German - Deutsch / Re: Verständisfrage Hochverfügbarkeit

« on: May 15, 2019, 10:59:38 am »

Wäre der Mensch doch nur nicht so lesefaul