Messages

Hello all,

i did setup the LAN Bridge according to the docu below.
https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Before
igb0 -> WAN
igb1 -> LAN
igb2 -> not used but setup while installation as opt1/2
igb3 -> not used but setup while installation as opt1/2

After
igb0 -> WAN
igb1,2,3 -> LAN Bridge

So far so good. All was running well. After a reboot igb1 (which was active on initial setup) decided not to work anymore. 

Disabled interface, took it out of the bridge and reversed the action.
Bridge is working fine again.

I guess until next reboot.

Is there anything i can make this stable and fix the setup?
thank you very much!
A

Intel Networkcards

Details ifconfig
igb0: flags=28943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,PPROMISC> metric 0 mtu 1500
   options=1400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,NETMAP>
   ether 00:0e:c4:d1:c3:0d
   hwaddr 00:0e:c4:d1:c3:0d
   inet6 fe80::20e:c4ff:fed1:c30d%igb0 prefixlen 64 scopeid 0x1
   inet 87.102.237.37 netmask 0xfffffc00 broadcast 87.102.239.255
   nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
   media: Ethernet autoselect (1000baseT <full-duplex>)
   status: active
igb1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
   options=1400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,NETMAP>
   ether 00:0e:c4:d1:c3:0e
   hwaddr 00:0e:c4:d1:c3:0e
   inet6 fe80::20e:c4ff:fed1:c30e%igb1 prefixlen 64 scopeid 0x2
   nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
   media: Ethernet autoselect (100baseTX <full-duplex>)
   status: active
igb2: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
   options=1400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,NETMAP>
   ether 00:0e:c4:d1:c3:0f
   hwaddr 00:0e:c4:d1:c3:0f
   inet6 fe80::20e:c4ff:fed1:c30f%igb2 prefixlen 64 scopeid 0x3
   nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
   media: Ethernet autoselect (1000baseT <full-duplex>)
   status: active
igb3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
   options=1400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,NETMAP>
   ether 00:0e:c4:d1:c3:10
   hwaddr 00:0e:c4:d1:c3:10
   inet6 fe80::20e:c4ff:fed1:c310%igb3 prefixlen 64 scopeid 0x4
   nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
   media: Ethernet autoselect (1000baseT <full-duplex>)
   status: active

bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
   ether 02:3e:52:76:10:00
   inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
   nd6 options=1<PERFORMNUD>
   groups: bridge
   id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
   maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
   root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
   member: igb3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
           ifmaxaddr 0 port 4 priority 128 path cost 55
   member: igb2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
           ifmaxaddr 0 port 3 priority 128 path cost 55
   member: igb1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
           ifmaxaddr 0 port 2 priority 128 path cost 55

Aloha,

wahrscheinlich bin  ich etwas zu  verwöhnt von der Sophos XG aber dort konnte ich etwas was ich sehr praktisch fand. Logs anschauen und Filter setzen für die Suche.

Beispiel:
Firewall Log danach einen Filter für Source, Destination, Port, Protocol.
Gleiches für Proxy und IPS.

Könnt Ihr mir Bitte sagen ob es sowas auch für die OPNSense gibt?
Gerade für den Anfang bis mal alles zusammengeschustert hat ist dies ziemlich nützlich.
Das derzeitige Log erinner mich doch an die UTM wo es ohne export nicht möglich es richtig auszuwerten.

Aber ich denke das ich hier nicht der einzigste bin... Da gibts doch was von "ratiopharm" .. :)

Wie macht Ihr das?

Danke
A

Hallo.

Ich habe es ähnlich umgesetzt, allerdings zusätzlich noch eine Block Regel wo die Source die Blacklists sind.

lg

OK übernehm ich mal sa.
Vielen Dank dann "räum" ich mal weiter auf.
A

Aloha,

ich hab den Transparenten Proxy von Squid eingerichtet und die NAT/Firewall Rule gesetzt.
NAT
LAN   TCP   LAN net   *   *   80 (HTTP)   127.0.0.1   3128
FW (LAN)
IPv4 TCP   LAN net   *   127.0.0.1   3128   *   *

Derzeit hab ich noch die Standard LAN to ANY Rule.
Diese würd ich gerne gegen etwas Sinnvollen ersetzen.

LAN TCP LAN net  *  *  80/443
Wenn ich diese Rule aktiviere und die Default abschalten komme ich nicht mehr ins Internet.
DNS geht also der Browser sowie Curl lösen die Hosts auf aber die connection kommt nicht zu stande.

Könnt Ihr mir bitte sagen wo ich hier den Denkefehler habe?

Danke
a


UPDATE:
OK, mea maxima culpa!!

Ich hatte die Direction im Lan Segment auf OUT anstatt IN

Hallo Zusammen,

ich grübele nun schon eine ganze Zeit wie man am besten die Spamhaus, FireHOL etc Blacklists einsetzen um den ganzen Traffic in/out zu unterbinden.

Nun hab ich mal Floating Rules genommen.

Interface: LAN/WAN (alle)
Source: ANY
Direction: ANY
TCP Version IPv4 (v6 is ausgeschalten)
Destination: Blocklist (Spamhaus, FireHOL als URL Table Alias)
Port: ANY

Macht das Sinn?
Ich finde die Blacklists in den Floating Rules besser ausgehoben als in einzelnen Segmenten.

Danke
A

Mailfilter hab ich eben was gelesen.

https://forum.opnsense.org/index.php?topic=6369.15

Die benötigten Plugins für einen vollständigen Mail Gateway sind:
* ClamAV (bereits Verfügbar)
https://docs.opnsense.org/manual/how-tos/clamav.html

* Postfix (Vorabversion verfügbar)
* Redis (Pull Request via GitHub vorhanden)
* Rspamd (Vorabversion verfügbar)

Da müsste man vielleicht mal weitersuchen.
A

Bin mir nicht ganz sicher ob ich es richtig verstanden hab.

Externe IPS weiterleiten.

https://docs.opnsense.org/manual/firewall_vip.html

Ich hab den Ansatz der virtuellen IPs genommen und dann per NAT (Port forward) an die richigen Stellen leiten.
Bin noch in der probier Phase und würde damit die alte FW ersetzen wollen. Aber auch dort hab ich es schon so gemacht.

Aliase anlegen und dann konfigurieren.

Hoffe das hilft weiter.
A

Moin,

ich hab mit so eine geholt. Hatte vorher ne Lanner. Bin sehr zufrieden die gäbe es auch mit WiFi Support.
https://www.alibaba.com/product-detail/oem-network-firewall-appliance-firewall-firewall_62142391338.html?spm=a2700.galleryofferlist.0.0.42bbb504BtVcw3

Firma heisst Qotom. 4x Intel NIC und i3 CPU. Lüfterlos.
Waren auch sehr freundlich und hilfsbereit. Bekam sie gleich mit 8 GB Ram und hab ne SSD reingeschraubt.
Preislich unter 200 EUR mit Versand und Zoll.

OPNSense 20 läuft seit ein paar Tagen drauf. IPS und Proxy mit ein paar Rules. Suricata hab ich auf Hyperscan umgestellt und die Kiste bekommt nicht mal warm.

Lieferzeit könnte sich Dank der derzeitigen Lage in China etwas verzögern.

Gutes gelingen wünsch ich.
A

Pro's,

please enlighten me about these floating rules.
I could not get much out of it now but thought i might use them for importing the URLs tables from some blacklist sites and setup and bi-directional "drop all" rule for it.

Would this make sense at all? As far i understood the rulesset the default none rule would already be a drop/deny all rule.

thanks for your help!
A

Greetings,
took a search before i posted as it did not ended with a good result.

Want to migrate my XG and later my UTM to OPNSense and installed a VM to prepare and cleanup my "old mess" to start with something fresh.

Recognized to use as much Aliases in the Firewall as possible to set groups and services together.
As i do have a lot of external WAN connection into the company from home i wanted to create some DNS wildcards.
Like *.company.com and so on. But was not able to archive it.
Do i really have to enter all in a single address or DNS?
I hope that you Pro's have a better way to archive this..

Otherwise i could life with it but just wanted to ask before i type and resolve several IPs to DNS.

thanks!
A