Messages

Ich bekomme es nicht nicht zum laufen. Sehe auch keine Hits auf der Firewall. Ist voll auf Durchzug gestellt zwischen LAN A und B wie auch dem WG Interface.

Sieht mir eher nach Routing Problem auf der OPNSense aus.

Von B nach A geht ohne Probleme. Von A nach B erreiche ich nur die Fritzbox über die Tunnelinterface Adresse. Ich kann in den Routes sehen das LAN B über Gateway Wireguard eingetragen ist.

Moin,
ist so eingetragen. Möchte noch nicht ganz.

Ich sehe erlaubten Traffic von LAN A (OpnS) nach LAN B (Fritz).
Ich sehe blockierten Traffic von Tunnel Interface FritzBox, nach LAN A auf dem WG IF.

Trage ich dazu eine Regel auf dem WGGroup IF ein, gibts dennoch Default Denys.

Vielen Dank für deine Hilfe dabei.

Also wenn Du in den VPN Diagnostics ein- und ausgehenden Traffic siehst, scheint der Handshake geklappt zu haben. Dann kann es nur noch Routing oder Firewall sein.

Wie gesagt die Firtzbox erreiche ich ja über ihre Tunnel Adresse.

Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Wahlweise geht auch "Allow All" - wenn es dann geht, musst Du den Fehler suchen. Immer dran denken: Floating Rules ziehen vor den Interface-Regeln! Filtert man dort etwas weg, bekommt man es nicht wieder!

Ich sehe Default Denys auf dem WG Interface von

Dst: Mein Rechner im OPNSense LAN
Src: TunnelIF der Fritzbox
Dir: IN

Trage ich da nun was auf dem WG Interface ein oder WG Groups? Was ist da der Unterschied?
N

Moin zusammen,
ich habe alles hier so eingerichtet zwischen Fritze und OPNSense, die Verbindung steht auch, aber ich erreiche das Netz der anderen Seite nicht.

https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

Fritte:
TunnelIF: 10.0.0.2/24
AllowList: 192.168.1.0/24, 10.0.0.1/32 # Local Opnsense

OPNSense:
TunnelIF: 10.0.0.1/24
AllowList: 192.168.0.0/24, 10.0.0.2/32 # Local Fritte

Das einzige was ich erreiche die die Fritte, allerdings unter 10.0.0.2 und nichts im Lokalen Netz.

Was mache ich falsch?

Edit custom.yaml here, its persistent:
/usr/local/opnsense/service/templates/OPNsense/IDS/custom.yaml

I'vent found the code where I could add it to the UI as textfield yet.

@danderson

I ended up downgrading to Suricata 6.x.

I had problems with all applications doing authenticaton against Microsoft Services (Microsoft Store,Xbox, Outlook etc.) without any logs or alerts triggered.

[Inspecting why traffic is dropped]

custom.yaml:

Code Select Expand

stream.midstream-policy: ignore

https://forum.suricata.io/t/blocking-traffic-after-upgrade/3744
https://forum.suricata.io/t/my-traffic-gets-blocked-after-upgrading-to-suricata-7/3745

Inspecting why traffic is dropped
If your traffic is being blocked, you can enable and inspect drop logs, especially the drop reason. For example, "reason":"stream midstream" in the drop logs indicates that Suricata has picked a midstream session and, due to midstream pick-ups not enabled, the default midstream exception policy is to drop such flows.

@franco
The "midstream-policy" should probably be added to default, as "midstream" is not enabled.

Wouldn't it be a great addition to have a textfield in IDS settings that adds to custom.yaml?

After starting suricata, eve.json basically gets spammed with "stream midstream" drops. Cant figure out which rule this should be.

Code Select Expand

{"timestamp":"2023-07-23T00:47:17.579664+0200","flow_id":1645215458582628,"in_iface":"igb0","event_type":"drop","src_ip":"216.xx.xx.xx","src_port":443,"dest_ip":"192.xx.xx.xx","dest_port":9817,"proto":"TCP","pk     t_src":"wire/pcap","direction":"to_server","drop":{"len":60,"tos":128,"ttl":124,"ipid":0,"tcpseq":3264133184,"tcpack":555486239,"tcpwin":65535,"syn":true,"ack":true,"psh":false,"rst":false,"urg":false,"fin":false,     "tcpres":0,"tcpurgp":0,"reason":"stream midstream"}}

ICMP/PING still works so must be related to some rules, which I cant figure out yet.

Hello,
I feel I get this problem with every major version upgrade of suricata. As soon as suricata starts, all traffic is blocked, except the wireguard interface.

Suricata is listening on the physical interfaces igb0 (Modem) and igb1 (LAN). Network cards are Intel i211-AT.

Any suggestions, is it driver issue? netmap issue?

Code Select Expand

OPNsense 23.7.r_14-amd64
FreeBSD 13.2-RELEASE-p1
OpenSSL 1.1.1u 30 May 2023

Second question, why is the file /usr/local/www/ntpd.core 1.0G? (Timestamp 2020)

Cheers

Bei gewissen Aliassen geht's ja auch, aber da tut er nur IP Listen fetchen..

Nein geht nicht, die Alias holen eine Liste mit IP-Adressen oder DNS Namen ab.

Mit Squid gehts ohne Probleme, solange du keine SSL Inspection verwendest, dann müsstest du noch anpassen, das für bestimmte URLs Ausnahmen existieren, da Microsoft SSL Pinning macht.

"http://xyz.abc.com" ist kein DNS Name. Alles ohne URI und Wildcards funktionieren hier auch nicht. Was soll er da denn auflösen?

Ein Alias löst lediglich Namen via DNS in IP Adressen auf, das ist kein Proxy oder URL White-/Blacklisting.


Entweder du kennst alle DNS Namen oder alle IP Adressen oder sehr weitgefächert alle Netze.

https://www.microsoft.com/en-us/download/details.aspx?id=53602

Es steht sogar in Step 5.

Add a rule just above the default LAN allow rule to make sure traffic to and from the firewall on port 53 (DNS) is not going to be routed to the Gateway Group that we just defined.

Das betrifft dann natürlich alles Dienst. Genauso wie du sagst.

Vielen Dank nochmal, das macht alles Sinn. :)

Danke schön, das funktioniert tatsächlich.

Kannst du mich noch erleuchten, wieso ich den NTP auf der Firewall nicht mehr erreiche?

Explizite Regel eingetragen und es geht wieder, aber warum ist das so? Ich würde es gerne verstehen.

DNS geht vermutlich, da ich Regeln fürs Pi-Hole eingetragen habe.

Hallo zusammen,
mein normaler DSL Anschluss geht über einen Vigor 165 von Draytek.

Damit ich das WebInterface vom Vigor erreichen kann, habe ich eine NAT Outbound Regel auf dem physischen Interface der OPNSense in Richtung des Modems konfiguriert.

Funktioniert auch wunderbar.

Nun habe ich meine OPNSense mit einem LTE Modem ergänzt und eine Gateway Group erstellt mit Prio 1 DSL und Prio 254 LTE. Soweit so gut.

Sobald ich nun in der Default LAN Rule im "Gateway", statt Default, die WANGROUP verwende, erreiche ich das Modem (Vigor) und auch den NTP (auf OPNSense) nicht mehr.

Quasi sobald ich "Step 4" anwende.

https://docs.opnsense.org/manual/how-tos/multiwan.html

Jemand eine Idee, wie sich das lösen lässt?

Ich habe die EM7455 am laufen und gerade eine Blogbeitrag darüber geschrieben. War schon großer Aufwand alles zusammen zu suchen.

https://www.techspark.de/running-sierra-wireless-em7455-on-freebsd-opnsense-pfsense/

Funktioniert theoretisch mit fast allen Sierra Wireless 73x und 74x. Der Schlüssel ist am Ende den FCCAuth abzuschalten.

Good luck.