Topics

Hallo,

ich hab zu paar Punkten Fragen:

ui: switch firewall category icon for clarity
Was hat sich da genau geändert?

firewall: set label for obsolete rule in live log (contributed by kulikov-a)
Wie wende ich das an?

Danke

Hallo,

ich habe heute versucht unseren 2. Router ins Netz zu hängen.

Lt. Skizze ist es so:
Produktivnetz 10.150.32.0/24, GW .254
192.168.31.254 als Gateway ("WAN") für VPN-Router. Dieser hat 192.168.31.129 wanseitig.
Lanseitig ist er wie auch OPNsense im 10.150.32.0/24 Netz, mit seiner IP 10.150.32.129.
Clients können ihm finden (ping).

So, aus meiner Sicht, eine statische Route am OPNsense müsste reichen, die besagt 10.157.10.0/24 via 10.150.32.129.
Dafür kann ich eben ein Gateway am ix0 erstellen, IP 10.150.32.129. Und die statische Route via dem Gateway routen.

Das Problem bei der Sache ist: OPNsense kennt "10.150.32.129" nicht, ping funkt nicht. Der Client schon und ping funkt.
Und da stehe ich bisschen auf der Leitung... die Sense müsste den Router doch via 10.150.32.129 finden können?
Getestet auf der Sophos, kann ich pingen.

So für die statischen Routen brauche ich den GW-Eintrag auf jeden Fall.

Das Problem scheint es zu sein, dass der VPN-Router via 10.150.32.129 nicht angesprochen werden kann.

Idee wo das Problem sein könnte?

Hallo,

leider weiß ich nicht wie ich den Titel besser nennen soll, aber hier ist die Situation:

Drei Netze.
Site1(LAN(10.10.10.0/24);VLAN11(10.10.11.0/24)<->Cisco-VPN<=S2S=>Site2(LAN3(10.10.30.0/24)).

Site1 ist die OPNsense. Die Sense ist Gateway für den 2. Router, Cisco-VPN, dieser baut ein S2S Tunnel mit Site2 auf.
Site2 akzeptiert ausschließlich 10.10.10.0 als Netz.
Die Aufgabe lautet: aus 10.10.11.0 ins 10.10.30.0 verbinden.

Bisher auf der Sophos habe ich das so gelöst, dass ich mir im 10.10.10.0-Netz eine IP erstellt habe ("Additional Address"), und diese dann mit SNAT und DNAT übersetzt habe.

Wie würde man das auf der OPNsense lösen?
Virtual IP / IP Alias?

Danke

Hallo,

hab da unsere neue scope7 4210 XL bekommen.
Am Webintf. bin ich eh schon drauf.
Aber: wie kommt ich auf die IPMI Konsole, weiß jemand die Default-IP? Per DHCP bezieht sich das Ding keine IP...

Hallo,

genau seit dem Upgrade auf 21.1.7_1 habe ich 2 Internet-Ausfälle gehabt.
Der erste war im Laufe des Abends gestern, Firewall und Modem gleichzeitig neu gestartet -> OK.
Der zweite war mittendrin in der Nacht, 0:29, da war nicht am System. In der Früh WAN-Schnittstelle einmal abgedreht und aufgedreht -> OK.
Was mir aufgefallen ist, dass im Dashboard Gateway nicht mehr sichtbar war.
Unter System -> Gateways -> Single habe ich nicht reingeschaut.
Health Monitoring zeigt loss ab 0:29 bis zum Neustart der WAN-Schnittstelle.

Bevor ich das System zurückrolle, kann ich das irgendwie troubleshooten, sollte es wieder passieren?

Es ist nicht auszuschließen dass die Leitung (Magenta Kabel 250/25 in Österreich) was hat, wäre aber ein großer Zufall da es gerade nach dem Upgrade passiert. Sonst hatte WAN noch nie Probleme.

Ist etwas bekannt (finde bisher nichts dazu)?

Danke.

Hallo,

kann mir jemand den Sinn hinter "Apply changes" in Firewall Rules erklären?
Ich halte es für völlig überflüssig? Oder ist das ein Sicherheitsnetz gegen "Blödsinne"?
Denn es gibt auch kein "Cancel", was aus meiner Sicht Sinn machen würde, um die Änderungen rückgängig zu machen, oder?

Hallo,
wo sehe ich bei OPNsense (GUI?) welche Prozesse hohe CPU Last verursachen?
Ich kann natürlich schnell einen Neustart durchführen, aber bevor ich das tue, würde ich gerne mal sehen was ein von einmal die Last von 25-50% verursacht, ohne wirklich dass im Netz was passiert.
Normalerweise habe ich 1% wenn ich nichts mache.
Danke

Hallo,

kann mir jemand etwa erklären wie die Firewall-Gruppen, in welchen Situationen, verwendet werden?
Ich versuche allgemeine Rules wie ausgehende 80/443 oder DNS aus einzelnen Interfaces zu entfernen, und dort eigentlich nur spezifische Rules haben. Die obigen Ports sind ja auf nahezu allen Interfaces vorhanden.
Macht das Sinn?

Und wenn man dafür Gruppe verwenden würde, wie benennt ihr die Gruppen in etwa? Ich habe gesehen dass für jede Gruppe ein Untermenü entsteht, ich kann mir nur vorstellen dass ich dann einige Gruppen dort entstehen, wie zB. GRP_Web_Surfing, GRP_DNS_Out usw. Einfach alle Interfaces in eine Gruppe zu bündeln wäre mir etwas zu viel, da ich damit nicht genug Freiheit habe.

Aber vielleicht das überhaupt eine falsche Anwendung. Suche hier einfach nach den Anwendungsszenarien.

Danke

Hallo,

also ich bin gerade ziemlich irritiert.
Ich hatte 8GB verbaut. Bin regelmäßig bei 6GB RAM Nutzung geschwebt, wenn ich Suricata und Sensei im Einsatz hatte. Gelegentlich ist Sensei auch abgeschmiert.
Gut, hab mir also 16GB RAM bestellt, heute verbaut, wieder alles aufgedreht, und siehe da, meine RAM Nutzung schwebt rund um 2GB!!???

Kann mir das wer erklären?

Hallo,
gibt es auf der OPNsense eine Möglichkeit ein Latency Heartbeat auf WAN zu machen?
Also eine Dauerhafte PING-Messung zu einer IP-Adresse und Display in Form eines Graphs?

Hallo,
leider versprach mit Thomas-Krenn bereits 2x einen Rückruf, der nicht erfolgte. Siehe Edit unten.

Da mir aber die Zeit schon etwas knapp wird, versuche ich es mal auf diesen Weg.

Ich möchte die Firewall ausreichend und darüber hinaus dimensionieren. Aber auch wieder nicht Geld gegen Wind hauen.
Ich hab das Budget bis €2000 bekommen und bei TK scheint es eine gute Platform für eine passende Konfiguration.
Also grundlegend sind wir ca. 20 Mitarbeiter, und wir sind größtenteils mit OpenVPN ausgestattet.
Unsere Internet-Leitung (neu, kommt erst) wird 500/500 Richtfunk-Glasfaser sein.
Meine Erwartung ist dass die Firewall ausreichend Power und dann noch ausreichend Reserven hat, um alle mit VPN zu versorgen. Verschlüsselung Standard AES-256-CBC, Keysize 2048.
Mein Wunsch wäre alles via Firewall zu routen (Full Tunnel) um auch die Dienste die die Firewall bietet, wie Sensei und Suricata hauptsächlich für alle zu nutzen. A/V ist lokal auf den Rechnern.
Wir sind zwar nicht 10GB basiert, aber der Coreswitch ist ein Aruba 1930 48g und hat 4 10GB Ports. Es tät mir eine 10GB Leitung zwischen Firewall und Switch reichen, über der alles geleitet wird (insg. ca. 5 VLANs, ist noch in Planungsphase).
Das Ziel ist es den MA ausreichend Bandbreite zu geben, sagen wir mal clientseitig mind. 20Mbit Upload (die Home-Anbindungen haben kaum mehr Upload-Bandbreite), und bis zu 50Mbit Download, aber natürlich mit QoS.
Es wird auch ein HTTP Download-Server bereitgestellt, von dem die Kunden einige kleine Programme runterladen können (Verklinkung von unserer Webseite).
Kein WWW Betrieb.
Und es wird ein Site-to-Site Tunnel (Firma und 2. Standort) genutzt, auch AES-256. Ca. 15 Netzwerke geroutet.
Darüber hinaus haben wir ein zweites Site-to-Site zwischen Firma (hier steht die OPNsense) und Rechenzentrum aufgebaut, und hier wird auch einiges geroutet.
Ich möchte auf jeden Fall genug Performance haben, da mich mein Chef bereits gefragt hat: "und wie lange wird die Lösung jetzt halten"?
Sonst betreuen wir einige Kunden via N-Central und Wayk (Remoting), haben RDS-Gateway im Einsatz, bieten Zugriff auf Test-Farm für Kunden (sind aber meistens nur 1-2 drauf, wenn überhaupt).
Vielleicht noch erwähnenswert ist dass wir ziemlich Spitzenlasten zu gewissen Zeiten haben, wie zB. 08:00, da unsere Rechner mittels N-Central aktualisiert werden, wenn wenn diese über Nacht nicht online waren, werden sie beim nächsten Einschalten aktualisiert. Was meistens in der früh ist, und da fangen dann etliche Clients oft die Downloads und Installationen. Alle Updates werden von unserem zentralen Server heruntergeladen.

Zuletzt will ich dass das Ding auch Interface-seitig, Troubleshooting usw. ausreichend Performance hat, wobei da denke ich eher entspannt, da mein i3 zu Hause flotter wie flott ist, wenn es um die CPU geht. RAM könnte ich mehr gebrauchen...

Betreiben würde ich die OPNsense auf 21.1 Version als Business Edition (paar Monate hinter der Community mit weniger Updates).

Nun folgende Konfiguration angedacht (siehe Screenshot).

EDIT: Ironie, als ich gepostet habe, 5 Minuten später hat sich TK bei mir gemeldet. Nun, warte ich auf den RR. Aber, es schadet ja nicht, wenn sich wer das hier auch ansieht.

Hallo,
aufbauend auf die Thematik von gestern, komme ich grad in die Verzweiflung mit den Aliasen.
Als Beispiel:
Ich habe zwei Rechner zu Hause, Laptop und Stand-PC.
Ein IPsec Tunnel in die Firma aktiv.

Wenn ich ein Rule mit LAN net ***** (alle Any) erstelle, dann funktioniert alles.
Aber, wenn ich meine zwei Rechner in eine Alias-Gruppe hinzufüge, und als Destination eine Netzwerk-Gruppe aus zwei betroffenen Netzen in der Firma erstelle, dann bekomme ich wieder Blocks. Nicht alle Pakete aber gewisse... meistens Port 135 und 88.

Gibt's etwas was man bei Aliasen beachten muss?

Hallo,
seit einem der letzten Updates scheint so als ob ich seltsame Sachen im Live View habe...
Innerhalb eines Netzwerks (VLAN), ich sehe geblockte Pakete, angeblich ausgehend von der NAS zu den anderen Servern im selben Netzwerk.

Das erste ist, dass die Pakete wiederholende Ports haben:
796, 798, 979 und 302.
Das zweite eben, warum sollen die Pakete innerhalb eines Netzwerks überhaupt über die Firewall gehen wollen?

Im anderen VLAN (Management), habe ich meine Geräte wie Switches und Unifi... hier sehe ich auch seltsame Sachen wie Access Point versucht auf Controller zuzugreifen, obwohl ein Rule existiert der sagt eben TCP/UDP Alias Unifi_Devices Source->Dest. Port ist 8080, allerdings im Rule ist eben Any.

Firewall Optimization ist "normal" und "Firewall Rules Optimization" basic, aber es spielt keine Rolle was dort ausgewählt ist...

Was man so sieht wenn man auf "i" klickt:
Detailed rule info
__timestamp__   Jun 6 20:35:37
ack   3176213742
action    [block]
anchorname   
datalen   84
dir    [in]
dst   server-ip
dstport   979
ecn   
id   21465
interface   igb0_vlan110
interface_name   V110_Servers
ipflags   DF
label   Default deny rule
length   136
offset   0
proto   6
protoname   tcp
reason   match
rid   02f4bab031b57d1e30553ce08e0ec131
ridentifier   0
rulenr   22
seq   2968604717:2968604801
src   nas-ip
srcport   2049
subrulenr   
tcpflags   PA
tcpopts   
tos   0x0
ttl   64
urp   155
version   4

Kann man wissen was das ist?

Hallo,
hab scheinbar ein technisches Problem:
Mein Speicher füllt sich willkürlich auf, irgendwann stoppt das Elasticsearch DB vom Sensei, und der Speicher bleibt scheinbar bei ca. 80% danach. Starte ich die DB, manchmal bekomme ich eine Fehlermeldung, irgendwas vonwegen Swap oder so, und manchmal startet aber RAM-Nutzung ist bei 92%.

Schaue ich unter Health->System->Memory, sehe ich hohe "inactive" Nutzung. Siehe Screenshot.

Kann mir jemand sagen was da passiert und wie kann ich feststellen wer der Verursacher ist?

Hallo,

ist es möglich in Suricata gewisse Benachrichtigungen (Alerts) abzuschalten, oder die ganzen Rules abzudrehen?
zB. ich habe viele "ET INFO Observed DNS Query to .biz TLD", und denke das müsste ich im Alert Fenster nicht sehen. Bzw. die Suricata rennt am WAN Port, da schon Sensei den LAN Port belegt.

Hallo,

hab ne Frage zu ntopng.
Ich schaue in die Liste der Alerts, und sehe etliche "Application on Non-Standard Port", false Positives.
Wenn ich auf das Zahnrad klicke, und dann auf das blaue Icon, kommt die "Exclusion List".
Was für Art der Einträge unterstützt diese Liste? Kann ich die Applikationen irgendwie auf Namensbasis oder Port-Basis erlauben?

Hello,
shouldn't Sensei actually display full hostname instead of IP Address if it's in Unbound? I have tried both static entry override and as well as static DHCP entry and checkbox Register static DHCP mappings.
I checked the nslookup, it's looking fine, I can resolve both ways, and it displays hostname.domain.com.
Also both OPNsense and DHCP range have domain.com set. So, all seems in order.
However, when doing DNS - > Live view in Sensei, I see only the IP of that specific computer. Shouldn't it say hostname.domain.com?

Hallo,
ich schaue mir dieses Video an:
https://www.youtube.com/watch?v=_yIq3GM4gjA
Dann schaue ich bei mir in Services -> ID -> Administration -> DOwnload, und sehe unter Download nur Enable/Disable selected. Kein drop filter, kein clear filter.

Warum ich frage:
Ich hab mir die ET telemetry Rules geholt und alle aktiviert. Da wird mir schon einiges angezeigt, aber alles "Allow". Nichts wird geblockt. Und keine Rules auf Drop...

IPS habe ich aktiviert allerdings auch, bringt aber nix.

Irgendwas entgeht mir da.  Kurze Aufklärung bitte?

Hallo,
ich hab hier etwas was ich überhaupt nicht verstehen kann.
Ich hab eine Synology NAS für die ich bisher HAproxy mit einem Wildcard LE Zertifikat für den Webgui Zugriff verwende. FQDN ist nas.domain.com. Nun, ich will die GUI FQDN von der NAS FQDN trennen, also soll quasi beides zwei verschiedene IPs im DNS haben. NAS.domain.com hat die richtige NAS-IP, und NAS_Webgui.domain.com hat die IP der OPNsense wo HAProxy hört.
So lange ich nas.domain.com -> OPNsense IP habe, und in HAProxy alles richtig konfiguriert ist, funktioniert die Sache tadellos.
Will ich aber die Änderung auf nas_webgui.domain.com, mache ich folgendes:
- DNS (FQDN) Anpassung
- HAProxy "Conditions" Anpassung (Host matches und dann trage ich nas_webgui.domain.com ein)

Das müsste ja doch reichen, sodass wenn ich dann https://nas_webgui.domain.com:5001 anspreche auch ganz normal die GUI kommt, oder?

Tut aber nicht, sondern wenn ich die obige Adresse aufrufe, verwandelt sich der Link in https://echte-IP-der-NAS:5001 und das Zertifikat auf der NAS wird genommen. Unsichere Verbindung...

Vergesse ich was umzustellen?

Hallo,
ist es möglich die "Commands" Zeile, die üblicherweise weit rechts ist, ganz nach links zu positionieren, also bspw. neben der Checkbox (Firewall) oder nach "Enabled" in HAproxy?
Ziehen geht nicht...
Ich finde mich nämlich seeeeeeeehr oft hin und her fahrend mit der Maus, wenn ich was einstellen will. Eigentlich furchtbar, wenn es voll einfach sein könnte. Rule-Namen und Beschreibungen könnten locker ganz rechts wandern, aber das was man meistens klickt sollte ja immer beinander sein, oder?