121
German - Deutsch / Re: [solved] Bug? 24.1 frische Inst. WAN-GW m.Wizard eigegeben, IPv4 Upstream GW=k.
« on: March 20, 2024, 08:06:55 pm »
Super. Dann prüfe ich morgen auf meinem Testsystem und evtl. auch Real.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
122
German - Deutsch / Re: [solved] Bug? 24.1 frische Inst. WAN-GW m.Wizard eigegeben, IPv4 Upstream GW=k.
« on: March 20, 2024, 03:45:58 pm »
Ich warte auf die 24.1.4 und stelle das nochmal nach. Ohne Wizard. 
123
German - Deutsch / Re: Hilfe und Verständnisfrage
« on: March 20, 2024, 09:43:58 am »
Hallo,
du solltest dich mit der Funktionsweise von IP beschäftigen. Beide Netzwerke (LAN 1 und 2) sollten eigene IP Bereiche erhalten. Dann musst du klären, welches DNS du benutzen willst. Den vom ISP / Box oder einen eigenen auf OPNsense (unbound). Außerdem scheint die Box auf WAN eine private IP zu verwenden, weil du noch eine ISP Box davor hast. Ergo musst du Routen auf der Box setzen können, bevor irgendwas von außen erreichbar wird. Alternativ kann man auch mit NAT und Port Forwarding arbeiten - ist aber noch umständlicher.
Die Wahlmöglichkeiten sind wie gesagt vielfältig.
Darüberhinaus muss du dann entsprechende Firewall-Regeln für beide Netzwerke einstellen. Die IP-Adressebereiche dürfen sich nicht überlappen. D.h. z.B. 192.168.1.1/24 und 192.168.2.1/24 als Interface Adressen. Aber nur, wenn 192.168.1 bzw 192.168.2 noch nicht in Benutzung sind von der ISP Box.
Damit du auch in Zukunft Herr über die Anlage bist, würde ich empfehlen, die Basics durchzugehen.
Einen guten Einstieg könnten z.B. die offiziellen Docs sein, oder auch die hier
https://www.thomas-krenn.com/de/wiki/OPNsense_installieren
https://www.thomas-krenn.com/de/wiki/OPNsense_Interface_hinzuf%C3%BCgen
Was du mit deinem NAS machen willst, sollte im Internet auch unter dem Stichwort DMZ zu finden sein. Und vielfältige Überlegungen dazu.
du solltest dich mit der Funktionsweise von IP beschäftigen. Beide Netzwerke (LAN 1 und 2) sollten eigene IP Bereiche erhalten. Dann musst du klären, welches DNS du benutzen willst. Den vom ISP / Box oder einen eigenen auf OPNsense (unbound). Außerdem scheint die Box auf WAN eine private IP zu verwenden, weil du noch eine ISP Box davor hast. Ergo musst du Routen auf der Box setzen können, bevor irgendwas von außen erreichbar wird. Alternativ kann man auch mit NAT und Port Forwarding arbeiten - ist aber noch umständlicher.
Die Wahlmöglichkeiten sind wie gesagt vielfältig.
Darüberhinaus muss du dann entsprechende Firewall-Regeln für beide Netzwerke einstellen. Die IP-Adressebereiche dürfen sich nicht überlappen. D.h. z.B. 192.168.1.1/24 und 192.168.2.1/24 als Interface Adressen. Aber nur, wenn 192.168.1 bzw 192.168.2 noch nicht in Benutzung sind von der ISP Box.
Damit du auch in Zukunft Herr über die Anlage bist, würde ich empfehlen, die Basics durchzugehen.
Einen guten Einstieg könnten z.B. die offiziellen Docs sein, oder auch die hier
https://www.thomas-krenn.com/de/wiki/OPNsense_installieren
https://www.thomas-krenn.com/de/wiki/OPNsense_Interface_hinzuf%C3%BCgen
Was du mit deinem NAS machen willst, sollte im Internet auch unter dem Stichwort DMZ zu finden sein. Und vielfältige Überlegungen dazu.
124
German - Deutsch / Re: Bug? 24.1 frische Inst. WAN-GW m.Wizard eigegeben, IPv4 Upstream GW=auto, k.Inet
« on: March 20, 2024, 09:24:50 am »
Schreibst du einen Bug-Report?
125
German - Deutsch / Re: Bug? 24.1 frische Inst. WAN-GW m.Wizard eigegeben, IPv4 Upstream GW=auto, k.Inet
« on: March 19, 2024, 06:40:53 pm »
Hallo,
ich arbeite auf OPNsense 24.1.3_1-amd64 und kann das Verhalten bestätigen. Zumindest auf IPv4. Auf IPv6 funktioniert es auch mit Auto-Detect.
Setup ist bei mir auch Statische IPv4 und Statische IPv6 mit jeweils von Hand definiertem Standard Gateway.
Ich bin übrigens überrascht, den Begriff Standleitung mal wieder zu hören.
ich arbeite auf OPNsense 24.1.3_1-amd64 und kann das Verhalten bestätigen. Zumindest auf IPv4. Auf IPv6 funktioniert es auch mit Auto-Detect.
Setup ist bei mir auch Statische IPv4 und Statische IPv6 mit jeweils von Hand definiertem Standard Gateway.
Ich bin übrigens überrascht, den Begriff Standleitung mal wieder zu hören.
126
German - Deutsch / Re: Hilfe und Verständnisfrage
« on: March 19, 2024, 06:32:32 pm »
Hi,
Zwei Interfaces im Bridge-Mode betreiben ist wie einen Switch benutzen. Der braucht aber weniger Strom und weniger Aufmerksamkeit.
Wenn du wirklich dein NAS absichern willst, brauchst du ein kleines Netzkonzept. Du hast ein WAN-Zugangsnetz (von deiner Kabel-Box), du hast ein LAN #1 für deinen Rechner und willst ein LAN #2 für dein NAS. Da stellt man sich die Frage:
* Was sollen Rechner im LAN #1 können dürfen? Alles, nur Internet, nur NAS, gar nichts?
* Was sollen Rechner im LAN #2 können dürfen? Alles, nur Internet, nur LAN#1 bedienen, gar nichts?
Und dann definierst du für jedes LAN:
* Eigene IP-Adresse auf OPN-Sense z.B. 192.168.x.1/24 mit unterschiedlichen (!!!) x oder andere aus dem RFC 1918 Bereich
* Konfiguriere DHCP
* Konfiguriere DNS (Resolver (z.B.unbound), Relay (z.B.dnsmasq) oder nichts)
* Definiere Regeln für die Infrastruktur (ICMP für mögliche Pings, Erreichbarkeit der DNS Server, NTP - vieles wird von OPNSense automatisch gemacht, wenn du die internen Dienste nutzt)
* Definiere Regeln, was erlaubt sein soll (und zwar nur das).
Quote
Erste Frage: ist das normal?Ja
Quote
Wie kann ich dieses Problem lösen?Lass den Bridge Mode sein.
Zwei Interfaces im Bridge-Mode betreiben ist wie einen Switch benutzen. Der braucht aber weniger Strom und weniger Aufmerksamkeit.
Wenn du wirklich dein NAS absichern willst, brauchst du ein kleines Netzkonzept. Du hast ein WAN-Zugangsnetz (von deiner Kabel-Box), du hast ein LAN #1 für deinen Rechner und willst ein LAN #2 für dein NAS. Da stellt man sich die Frage:
* Was sollen Rechner im LAN #1 können dürfen? Alles, nur Internet, nur NAS, gar nichts?
* Was sollen Rechner im LAN #2 können dürfen? Alles, nur Internet, nur LAN#1 bedienen, gar nichts?
Und dann definierst du für jedes LAN:
* Eigene IP-Adresse auf OPN-Sense z.B. 192.168.x.1/24 mit unterschiedlichen (!!!) x oder andere aus dem RFC 1918 Bereich
* Konfiguriere DHCP
* Konfiguriere DNS (Resolver (z.B.unbound), Relay (z.B.dnsmasq) oder nichts)
* Definiere Regeln für die Infrastruktur (ICMP für mögliche Pings, Erreichbarkeit der DNS Server, NTP - vieles wird von OPNSense automatisch gemacht, wenn du die internen Dienste nutzt)
* Definiere Regeln, was erlaubt sein soll (und zwar nur das).
127
General Discussion / Re: DHCP relay on a configured Wireless Access Point
« on: March 19, 2024, 06:25:20 pm »
Hi,
it sounds as if you created a new network segment with your WLAN interface. Relaying DHCP is hence not what will work. You'd create a new IP range for WLAN and route it towards LAN and its gateway - using NAT or a valid route on your ISP's router.
In order to avoid the new network segment you should consider operating both IFs in bridged mode.
it sounds as if you created a new network segment with your WLAN interface. Relaying DHCP is hence not what will work. You'd create a new IP range for WLAN and route it towards LAN and its gateway - using NAT or a valid route on your ISP's router.
In order to avoid the new network segment you should consider operating both IFs in bridged mode.
128
24.1 Legacy Series / Re: Unbound DNS Issues after clean install of 24.1.3_1
« on: March 18, 2024, 11:34:11 am »
It seems as if there is something else on port 53.
Can you open a shell and run
to check which services are actually listening and where. Furthermore, is there any firewall/nat rule regarding port 53 doing quirky things?
Can you open a shell and run
Code: [Select]
sockstat -l | grep udp | grep :53to check which services are actually listening and where. Furthermore, is there any firewall/nat rule regarding port 53 doing quirky things?
129
German - Deutsch / Re: Port Weiterleitung funktioniert (nicht) mehr
« on: March 15, 2024, 10:47:43 am »Quote
Im Packet-Capture kann ich eingehend auf der WAN Schnittstelle nur den Port 21116 finden.
Das bedeutet, 21115 kommt gar nicht erst am Router an. Bist du sicher, dass du während deiner Änderungen nicht auch an anderen Sachen gearbeitet hast?
Z.B. IPv6 plötzlich statt IPv4? ISP sperrt den Port neuerdings, weil er was erkannt hat? ...
Viel mehr kann ich leider mit den Aussagen auch nicht anfangen.
130
General Discussion / Re: Port Forwarding Stopped Working
« on: March 15, 2024, 10:42:20 am »
And the aliases are?
131
German - Deutsch / Re: Port Weiterleitung funktioniert (nicht) mehr
« on: March 11, 2024, 12:16:17 pm »
Ok, da kein Wort zum live view fällt weißt du immer noch nicht, ob das alles geblockt wurde.
Und die Eingangsbilder suggerieren andere IPs, aber leider fehlt mir da immer noch der Kontext.
Wofür steht der Alias, welche interfaces hast du in nutzung, IP ranges und: Erst mal prüfen, ob der Traffic geblockt wird oder nicht. Mach keine Annahmen, dass früher etwas ging. Mag sein, aber hilft dir jetzt auch nicht mehr.
Und die Eingangsbilder suggerieren andere IPs, aber leider fehlt mir da immer noch der Kontext.
Wofür steht der Alias, welche interfaces hast du in nutzung, IP ranges und: Erst mal prüfen, ob der Traffic geblockt wird oder nicht. Mach keine Annahmen, dass früher etwas ging. Mag sein, aber hilft dir jetzt auch nicht mehr.
132
General Discussion / Re: How to create Airgapped VLAN (and other firewall subtilities)
« on: March 10, 2024, 03:04:47 pm »
Configure interfaces for every VLAN,
by default no VLAN can access anything other than DHCP, DNS, RA.
Enable in rules for every interface to allow what you want to allow (pass). Use alias for your networks to keep maintenance low (an alias can have both addrtypes IPv6 and IPv4).
Traffic within a VLAN is always enabled.
Internet access can be obtained by a pass rule to all non-private/local adresses. That is traffic with target NOT RFC1918and your IPv6 prefix
by default no VLAN can access anything other than DHCP, DNS, RA.
Enable in rules for every interface to allow what you want to allow (pass). Use alias for your networks to keep maintenance low (an alias can have both addrtypes IPv6 and IPv4).
Traffic within a VLAN is always enabled.
Internet access can be obtained by a pass rule to all non-private/local adresses. That is traffic with target NOT RFC1918and your IPv6 prefix
133
German - Deutsch / Re: Port Weiterleitung funktioniert (nicht) mehr
« on: March 10, 2024, 02:57:12 pm »Aber wenn du nix im Live-Log siehst, loggt die passende Regel nicht oder es kommt erst gar nichts an der Opnsense an. Ersteres kannst du mit einem Packet capture auf WAN begegnen. Da siehst du, ob wirklich was kommt.
134
General Discussion / Re: Port Forwarding Stopped Working
« on: March 10, 2024, 02:44:40 pm »
Sorry, I don't understand neither your expected result nor your actual result.
Which port forwards do no longer work? What ports are expected to be forwarded? Which traffic causes the default deny rule to trigger? Did you change your WAN's interface behaviour during replacement of the modem?
Which port forwards do no longer work? What ports are expected to be forwarded? Which traffic causes the default deny rule to trigger? Did you change your WAN's interface behaviour during replacement of the modem?
135
General Discussion / Re: Port Forwarding Stopped Working
« on: March 09, 2024, 09:40:09 pm »
Check live view in firewall for blocked packets, identify malicious rule or if unsuccessful, check with packet capture whether there even is some traffic coming in. Or try it the other way round. Guessing a possible issue is not the choice to make