Messages

136

High availability / Re: How to do IPv6 with DHCPv6-PD?

« on: November 03, 2021, 02:41:06 pm »

Same problem here. I could work around that by allowing as last rule on the LAN interface all IPv6 traffic instead of allowing only traffict originating from LAN net.

Another problem: for IPv4 I can define a virtual IP which is "shared" between the two firewalls. What about IPv6? It appears that with prefix delegation each firewall has to use its own IPv6 adresses. So it's not possible to assign an IPv6 adress to a domain in order to reach a server behind the firewall. Either the domain points to the address of the first or to the address of the second firewall?

Where am I wrong here?

137

German - Deutsch / Best Practice, letzte Regel "allow all"

« on: November 03, 2021, 12:44:40 pm »

Hallo,
bei den LAN-Regeln ist bei mir die letzte Regel eine Allow All Regel. Was sollte man hier als Source angeben? Lan net? Oder Lan net + Net address? Oder "*"? Mir geht es um ausgehende Verbindungen, also nicht um Verbindungen die aus anderen Netzen ins LAN kommen.

Danke!!

138

German - Deutsch / Re: Zugriff auf Web-Oberfläche

« on: November 01, 2021, 10:33:01 pm »

Ich habe das Problem inzwischen gelöst. Das Problem war, dass ich einen Port-forward auf einen Webserver im LAN auf Port 443 eingerichtet hatte. Ausgewählt hierzu war das WAN-Interface.

Für mich vollkommen unlogisch wurden im LAN auf die Firewall gerichtete https Verbindungen bei eingeschalteten automatischen Anti Lockout Regeln auf die GUI der Firewall gelenkt. Für sämtliche anderen Schnittstellen erfolgte für mich unerklärlich eine Weiterleitung auf den Webserver. Und das obwohl bei der Portweiterleitung als Interface nur Wan angegeben war. Verstehen würde ich das normalerweise so, dass nur auf dem WAN-Interface eingehende Verbindungen an den Webserver weitergeleitet werden. Dem ist aber nicht so.

Wurden die automatischen Anti Lockout Regeln deaktiviert, so führe dies dazu, dass auch zusätzlich alle LAN-anfragen auf Port 443 auf den Webserver umgeleitet wurden. Die GUI Oberfläche der Firewall war damit nicht mehr erreichbar.

Was ist also die Logik bezüglich der Angabe der Schnittstelle bei den Portweiterleitungen?

Ich habe das Problem jetzt so gelöst, dass ich zusätzlich bei der Portweiterleitung eingegeben habe, das alle nicht aus dem LAN stammenden Anfragen an den Webserver weitergeleitet werden sollen. Das funktioniert nun auch mit deaktivierten Anti Lockout Regeln und kann für beliebige interne Netzwerke angepasst werden.

139

German - Deutsch / Zugriff auf Web-Oberfläche

« on: October 31, 2021, 08:00:51 pm »

Hallo,
der Zugriff auf die Web-Oberfläche über das LAN-Interface klappt. Jeglicher anderer Versuch des Zugriffs über andere Interfaces klappt nicht. Die manuell gesetzen Einträge erlauben den Zugriff allerdings. Im Firewall Log erscheint ein Deny (Default deny rule, action"RDR"). Ich vermute, dass irgendwo ein Redirect stattfindet, wüsste aber nicht wo. Eventuell einer der automatisch erzeugten Anti-Lockout rules. Wenn ich die default-Regeln deaktivere, komme ich nicht mehr auf die Web-Oberfläche und SSH geht auch nicht mehr...

Danke für einen Tipp von euch!!

140

German - Deutsch / Re: Probleme mit LTE Stick Huawei E3372s-153

« on: October 12, 2021, 05:03:11 pm »

Ich habe ein ähnliches Problem mit einem Huawei-Stick. Reboot hilft bei mir nicht, nur manuelles Entfernen des Sticks und dann wieder in den USB-Port einstecken. Dann erscheint auch wieder das richtige PPP-Interface. Ich glaube irgendwo mal gelesen zu haben, dass das vermutlich ein internes Problem des Sticks ist, der sich "aufhängt" und dann bis zur Stromtrennung in einem unbrauchbaren Zustand verharrt.

141

German - Deutsch / Re: DNS-Weiterleitung umleiten im lokalen Netz

« on: September 22, 2021, 01:30:14 pm »

Hast Du einen DNS-Resolver? Services->Unbound z.B.? Da gibt es bei Overrides eine Möglichkeit für Einträge.

142

German - Deutsch / Re: Hilfe Stellung für Anfänger

« on: September 22, 2021, 10:14:32 am »

Hi, fange doch mal einfach an. Ein Interface für Switch 1, ein Interface für Switch 2. Interface 1 bekommt ein Subnetz, Interface 2 ein anderes (jeweils Static IPv4, z.B. 192.168.1.1 und 192.168.2.1). DHCP aktivieren.

WAN Firewall erst mal keine Einträge, Interface 1 und 2 jeweils alles überall hin zulassen (zum Testen). NAT nicht anfassen.

Damit müssten erst mal alle Geräte ins Internet kommen und entsprechend ihrem Subnetz eine IP bekommen. Erst wenn das klappt, dann kannst du die Sache verfeinern (z.B. Firewall auf Interface 2 so einstellen, dass alle Pakete nach Interface 1 (Interface1Net) blockiert werden und umgekehrt, wodurch Du eine Trennung der Subnetze erreicht hast).

Zu Deiner Frage. Firewall-Regeln auf dem WAN-Interface brauchst Du nur, wenn Du von außen (vom Internet aus) auf Dienste in Deinem Heimnetzwerk zugreifen willst. Das würde ich aber erst mal lassen und zusehen, dass Dein Netzwerk richtig konfiguriert ist.

143

German - Deutsch / Re: Grundüberlegungen zur Netzwerkinfrastruktur

« on: September 21, 2021, 10:59:54 am »

Hi, habe ich auch so gemacht. Das schöne ist, dass man in dieser Konstellation nichts falsch machen kann, wenn die FB weiterhin als Firewall aktiv ist. Einzig beim Thema IPv4-Routen und NAT muss man ein wenig nachdenken, aber selbst Double-NAT funktioniert problemlos.

144

Intrusion Detection and Prevention / Re: PT Open ruleset

« on: September 16, 2021, 04:35:12 pm »

Ok, looks like adding the ET Pro Telemetry Edition Plugin automatically disables the majority of the native ET open rules. I don't know whether this is an error or wheter there is a reason behind it. An idea on that?

Another question that came to my mind is which rulesets to select:

If you leave memory and speed completely out of the equation and only look at the real-world effectiveness of the filters, I don't know which filters make sense. Opnsense is behind a firewall of an ISP modem, so only very few requests reach Suricata on a few ports. On top of that, most of the communication today is over https, so any viruses, trojans, exploits from Suricata cannot be filtered at all because of the encrypted communication between endpoints. Am I seeing this correctly?

Filters like "emerging-exploit" or "emerging-dos" or "emerging-activex" don't make any sense at all here, do they?

What about IPv6 communication? A large part of the lists contain pure IPv4 addresses? If my system is also reachable via IPv6, Suricata protects relatively little or?

Translated with www.DeepL.com/Translator (free version)

145

Intrusion Detection and Prevention / PT Open ruleset

« on: September 15, 2021, 07:56:23 pm »

Hello,
after installing the plugin of os-intrusion-detection-content-pt-open it appears that there is no change in the available rulesets for download? I only get a set of tickable rules for os-intrusion-detection-content-snort-vrt and for os-intrusion-detection-content-et-open.

• How can I get the rules of os-intrusion-detection-content-pt-open
• Are the rules in os-intrusion-detection-content-pt-open corresponding to the commonly known ET Open ruleset? Since I continuously upgraded Opnsense from previous versions, it appears that I only have a few ET open Rulesets left from previous versions of Opnsense (ET open/botcc, ET open/botcc.portgrouped, ET open/ciarmy, ET open/compromised, ET open/drop, ET open/dshield, ET open/emerging-inappropriate and ET open/tor

Thank you!

146

General Discussion / Re: DNSSEC -> SERVFAIL

« on: September 13, 2021, 02:05:50 pm »

Seems to be a problem with your setup?

Code: [Select]

nslookup netgear.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   netgear.com
Address: 13.248.140.194
Name:   netgear.com
Address: 76.223.14.31



147

General Discussion / Re: Basic config OPNSense and OpenVPN problems

« on: August 31, 2021, 01:27:17 pm »

Yes, this was the one I meant. What about NAT? I don't know what is being configured automatically. But I have Firewall-Nat-Outbound manually set (Interface WAN, Source OpnVPNInterface net, Source *, Destination *, Destination Port *, NAT-Address=WAN address, Nat Port *, Static Port no).

Also make sure that your ISP firewall is permitting the packets on port 1194 (tcp/udp)? to pass to your Opnsense.

148

General Discussion / Re: remote "Switch-button" for firewall rules

« on: August 30, 2021, 08:48:55 pm »

I finally suceeded to solve the problem using the API for accessing firewall rules. In my home automation software I have a switch to turn on and off the rules, which in each case triggers a bash-script according to the commands listed in this post: https://forum.opnsense.org/index.php?topic=16943.0

Thanks again for the hint!

149

General Discussion / remote "Switch-button" for firewall rules

« on: August 30, 2021, 04:44:49 pm »

Hi,
does anyone know about a possibility whether it is possible to implement a remote "switch-button" (on/off state) to enable or disable a certain firewall rule. The background is that I have a rule that blocks internet for some devices of my kids. I would like to have an easy possibilty to enable or disable the rule without the need for my wife to use the opnsense interface...

Thank you for your ideas!

150

General Discussion / Re: Basic config OPNSense and OpenVPN problems

« on: August 30, 2021, 02:32:32 pm »

Hi, did you add a gateway? You need a gateway for the OpenVPN interface, IP address dynamic, no gateway monitoring, IPv4.