Topics

Hallo,

da ich in der nächsten Zeit eine Migration auf OPNsense schrittweise vorbereiten werde, möchte ich hier ein Allgemein-Thread dazu eröffnen, und hoffe dass ich hier die Fragen einfach laufend, wenn ich eventuell wo hängen bleibe, stellen kann. Ich glaube so macht es mehr Sinn, als einzelne Threads.

Nun, ich bin beim Erstellen der OPNsense VM. Ich hab im Server 4 Ports zur Verfügung (eventuell 5, wenn nötig, andere NIC hat nur 3 belegt). Da wir aber auf der Sophos 7 LAN Ports belegt haben, muss ich mir was überlegen wie ich die Sachen erstmal "zusammenfasse", auch für einen temporären laufenden Betrieb.

Aus dem Plan (Infos gestrippt) sieht man dass wir eine Hauptfirewall haben (Sophos) und dann einen zweiten Router hinter der Sophos, der zwei IPSEC Tunnels aufbaut. Das ist eine Anforderung des Hostings, die ich aktuell so umgesetzt habe damit keiner sich beschwert - zukünftig anders, nur eine Leitung für den Cisco. Nichts desto trotz möchte ich bei OPNsense erstmal ein Setup erstellen, der der Sophos gleicht und wenn das funktioniert, die Änderungen am Cisco vornehmen lassen und umstellen.
Das bedeutet ich muss die WAN1 und WAN2 am Cisco "zusammenfassen" und auf ein Port auf der virtuellen OPNsense legen. Bin eben beim Überlegen ob ich das mit VLAN realisieren kann. Gedanklich spricht erstmal nichts dagegen.

Ich hätte es erstmal so angedacht, 4 Ports zur Verfügung:
WAN1 und WAN2 je ein phy. Port.
Port3: LAN, Client-Netz
Port4: VLANs (DMZ, WAN1 und WAN2 für Cisco, LAB, Server, Management, WLAN, Externe Server...)

Grundsätzliche Idee wäre einen physikalischen Port zu haben, und hierrüber alle Netze die aktuell auf der Sophos physikalisch sind logisch zu trennen und dann auf dem Switch diese entsprechend verteilen, ein entsprechendes Tagging am Switch und in der OPNsense (VLANs) müsste ja reichen.
Indem Hyper-V automatisch ein "Trunk" macht (also erlaubt 1-4096) automatisch dürfte nichts weiteres notwendig sein.

Der Durchsatz des einen 1GBit Ports würde für alle Zwecke erstmal reichen. Auf der HW-Firewall möchte ich dann eh trennen.

So, das wäre erstmal der Plan für den Anfang.
Aktuelle Netzwerk-Skizze, die neue mit OPNsense muss ich erst machen.

Was meint ihr? Ist das so umsetzbar vom Grundsatz her?

EDIT: vergessen zu erwähnen, natürlich wird die OPNsense erstmal *Privat* betrieben, damit ich die gleichen Netze einrichten kann, erst dann wenn ich sie mal produktiv machen will, dann stelle ich auf External um.

Hallo,

beim Nutzen von ntop kommt immer die Meldung dass neue Version, 4.2, vorhanden ist.
Kann ich updaten oder die Meldung abschalten? Soll man überhaupt (manuell) updaten?

Hallo,
ich nutze den LiveLog der FW um nachzusehen ob grad was blockt... kann gut filtern.
Nun, angenommen ich möchte das gleiche sehen aber in einem Verlauf von xx-Stunden?

Hello,

ich mache ein kleines Brainstorming bzgl. Firewallwechsel.
Wie ist es bei der OPNsense wenn es um den Einsatz im kommerziellen Umfeld geht?
Speziell im Bezug zB. auf Deciso.
Sie haben Support habe ich gesehen, kann man kaufen. Ebenso Hardware.
Kann man es, wenn man das so aufstellt, 1:1 mit zB. einer Fortigate vergleichen?

Mit Sophos SG125 die wir im Einsatz haben, bin ich mittlerweile auch sehr enttäuscht. Ebenso mit dem Support. Seit 5 Tagen haben wir ein massives Problem. Nach einem Tag Troubleshooting habe ich den Support angerufen, dachte mir ein zweites Kopf wäre nicht schlecht. Der Support-MA wusste nicht mal wie man sich auf der Konsole "bewegt", suchte vergleiche Logs, kannte weder cat noch vi... Case eröffnet, als dringend... glaubt man da hat sich wer gerührt? Unfassbar!
So, auch wenn wir heuer 3 Jahres Lizenzen gekauft haben, peile ich mit Jahresende ein Wechsel an. Nur die Frage, wird Forti (oder vergleichbar) oder OPNsense.

Und nicht falsch verstehen, ich bin vom OPNsense begeistert. Aber, ich muss auch meinen CEO überzeugen, denn die erste Frage die er stellen wird: Open Source? "Gratis"? Kann sicher nix...

Hallo,

ich lese gerade über CARP (HA) und überlege bei mir zu Hause zu implementieren.

Macht es Sinn eine VM als HA zu der HW-Firewall aufzuziehen und diese im HA Modus zu betreiben? Meine HW-Firewall hatte bisher in vielen Jahren nur einen Ausfall (CPU-Lüfter den Geist aufgegeben). Nicht jetzt wirklich so wichtig, auch wenn wir 1-2 Tage keinen Internet haben, bis der neue Lüfter ankommt, aber wenn schon als VM möglich, warum nicht.
Weiterhin, wäre es vom Vorteil HA zu haben wenn man eine Wartung auf der Haupt-Firewall durchführt, indem das Netzwerk nicht offline geht? Meine Frau arbeitet oft per RDP in der Firma am WTS und schimpft mich wenn ich die Firewall neustarte ;-)

Danke

Hallo,

wie schon im anderen Thread diskutiert, habe ich bei mir vor gehabt und jetzt auch umgesetzt, meine eigene Nextcloud.
Ich benötige Zugriff definitiv ohne VPN, daher habe ich mir ja überlegt was ich für die Sicherheit tun kann, um das Ding im WAN möglichst sicher zu machen.
Ich habe die Linuxbabe Anleitung benutzt und dort ein paar Sicherheits-Empfehlungen übernommen.
SELinux habe ich nicht hinbekommen, aber daran arbeite ich noch, ich weiß davon eigentlich nicht viel, außer nur in etwa verstehen was das Ding macht.
Jetzt ist alles aktuell, MariaDB, PHP und Nextcloud. Aktualisiert wird alles laufend, ich muss noch rausfinden wie ich die Sachen automatisiere. Ist einfach ein To-Do.
Ebenso kommen noch Multi-Ort Backups für gewisse Sachen, ist nur noch nicht eingerichtet.
Von der Konfiguration her ist es so, dass die Nextcloud selber wenig Daten (in Größe und nicht Anzahl gemeint) trägt oder tragen wird. Die Zugriffe passieren via mount --bind und nfs auf entsprechende Shares (NAS).

Was mich hier eher interessiert, was ich netzwerktechnisch auf der OPNsense tun kann, um möglichst wenig Angriffsfläche zu bieten. Ich sag mal was ich bisher getan habe:
- LE Zertifikat (Wildcard) am HAproxy
- kein "generischer" Name "nextcloud"
- eigener Port
- der Server befindet sich in einem ziemlich eingeschränkten VLAN wo auch andere Server residieren, wo sehr wenig ausgehend erlaubt ist überhaupt (eingehend nur sowieso aktuell Port für Nextcloud)
- starkes Passwort + 2FA am Nextcloud (alle Logins)

Kann ich auf der OPNsense oder HAproxy was extra tun? HAproxy macht eigentlich nix besonderes außer SSL Offloading und das war's.

Sollte Netzwerkplan notwendig sein, gerne auf Anforderung.

Hello,

I'd like to ask for some assistance in this matter please.
I've searched the forums for similar material, but I'm at a loss.
The reason why I'd like to use nginx as reverse proxy is that it offers WAF, and I can implement a Layer7 security, even if I currently have no idea really what to do - but keen to learn. Anyways...

Nextcloud is installed on Ubuntu server. Deployed with the server itself, via snap.
OPNsense is installed on a hardware device and is connected directly to internet.
I use Cloudflare as DNS.

So I installed the nginx addon, and looked here:
https://docs.opnsense.org/manual/how-tos/nginx.html
and here:
https://forum.opnsense.org/index.php?topic=19305.0
and here:
https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/reverse_proxy_configuration.html#defining-trusted-proxies

So I tried setting it up:
Configured Nextcloud to accept HTTP at port 7444, HTTPS at port 7443, self-signed cert. Connect via HTTPS, confirm cert error, -> OK
Also tested port forwarding -> OK
Then I entered into the config.php file:
  'trusted_domains' =>
  array (
    0 => '192.168.110.6',
    1 => 'nextcloud.domain.com',
   ),
...
   'trusted_proxies' => array('192.168.110.254'),

.6 is the nextcloud server, .254 is the firewall (it's actually a VLAN).

I also set up Cloudflare DNS to point to my WAN IP for nextcloud.domain.com.
I also have a second entry in DNS, call it firewall.domain.com, which is the FQDN of the OPNsense.

And then on with the OPNsense setup:

Added upstream server: 192.168.110.6, 7443, 1
Configured Upstream: server entry = the above entry, weighted round robin, enable TLS unchecked, uncheck TLS: verify certificate (self-signed on NC)
Location: URL pattern /, match type none, URL rewriting nothing selected. Rest is default, upstream servers: previous step.
HTTP Server:
HTTP Port empty
HTTPS Port 7443
Server Name: nextcloud.domain.com
Locations: previous step
URL Rewriting Nothing selected
TLS Certificate: my *.domain.com wildcard certificate.
Rest is default afaik.

And now, if I try to access: https://nxtcld.domain.com:7443/

Nothing. Zip. Nada.
It's not the firewall, ports are open.
Nothing in the log of nginx.

However, here's one thing: if I attempt to access the FQDN of the firewall (firewall.domain.com), I get untrusted domain, so apparently there is an answer from the nextcloud at port 7443.
But: why does it answer at firewall.domain.com and not at nextcloud.domain.com?

Also discovered another thing: if I then enter firewall.domain.com into trusted_domains, I get no answer any more. Vice versa too, if I remove nextcloud.domain.com from trusted_domains, I get untrusted domain message.

So, I am really not sure who's at fault here. Is it wrong nextcloud config or is it OPNsense/nginx?

Can someone help a little please?

Hallo,
gibt's da wem der sich mit der Konfiguration von die beiden auskennt? Ich blick leider nicht durch, was bei mir falsch ist. Auf den nextcloud Server komme ich intern wie sowohl HTTP wie auch HTTPS drauf, jedoch eigene Ports, sagen wir mal 1234 für HTTP und 1235 für HTTPS.
Via snap habe ich die eben geändert und HTTPS aktiviert (nextcloud ist am Ubuntu Server installiert).
Per Anleitung von nextcloud, habe ich config.php die trusted_proxies eingetragen, und zwar die IP des Gateways, in meinem Fall 192.168.110.254. Nextcloud-Server neu gestartet.

Im DNS vom Cloudflare habe ich eingetragen: nextcloud.domain.co.at -> WAN-IP

Und dann habe ich folgende HAproxy Konfiguration:
Real Servers: 192.168.110.6, Port 1235, SSL angehakt, Verify SSL aus
Backend: alles default, unter Servers der Server aus dem vorigen Schritt ausgewählt
Frontend (Public Service): 127.0.0.1:1235, Backend Pool aus dem vorigen Schritt, SSL offloading an, Wildcard Zertifikat ausgewählt.

Firewall eingehend 1235 to any rule erstellt.

Und das war's eigentlich.

Und nix. Idee was mir fehlt?

Hallo,

ich habe ursprünglich ein langes Posting gemacht, gelöscht, und jetzt erstmal ne einfache Frage:

Mein haproxy funkt so:
Real Webservers (als Beispiele): esxi_webgui, ipmi_webgui -> reale IP+Port
Dann die Backend Pools: die auf die Real Webservers angebunden sind
Public Service (Frontend): Listen Address: GatewayIP des VLANs + Port, LE Zertifikat
DNS Einträge im Unbound (Overrides): esxi.domain.co.at -> GatewayIP des VLANs
Ich rufe auf: esxi.domain.co.at:port und alles ist gut, LE Zertifikat wird genommen.

Kann nginx sowas? Denn, haproxy kann (in non-kommerzieller Version) kein WAF.

Hallo,
angenommen man will über VPN Port Weiterleitung einrichten... wie? Muss man was in dem OVPN config machen? Bekommt man vom VPN Port zugewiesen? Kann man beliebige Ports nehmen?
Bei PIA in der App wird ein Port zugewiesen...

Wie funktioniert die Sache?

Danke

Hallo,
ich bekomme viele drops auf Port 123 (NTP) auf dem WAN-Port, welche ich, wenn ich das richtig verstehe, als unaufgeforderte Anfragen am WAN-Port einstufen würde. Sonst würde ich ausgehende Pakete am LAN-Port sehen, wenn ich bei NTP ausgehend Regel Logging aktiviere. Stimmt?
Da frage ich mich aber immerhin warum ich gerade auf NTP-Port die eingehenden Anfragen bekomme, ob das was zu bedeuten hat.
Oder soll ich einfach ein NTP block rule am WAN machen und Logging abdrehen. Damit wäre es dann Ruhe. Das dürfte aber die NTP Anfragen vom LAN aber nicht blockieren...?
Danke

Hello,
ich habe dieses Tutorial befolgt:
https://homenetworkguy.com/how-to/configure-wireguard-opnsense/
um ein WG Server und iOS Client einzurichten.
Ich möchte letztendlich über meine OPNsense WAN-Anbindung surfen, auch unterwegs durch Tools wie Sensei geschützt und gefiltert.
Nun musste ich feststellen dass das Internet am Mobilegerät gar nicht funktioniert.
Ich komme perfekt in die internen Ressourcen aber kein surfen...
Im Firewall Log sehe ich nichts blockier, DNS Server sind eingerichtet: die LAN-Adresse (Haupt-LAN, kein VLAN) der OPNsense, sowohl im WG Server wie auch im Client.
WG_Interface is wie empfohlen, ohne TCP-Konfig eingestellt.
NAT ist vorhanden (auf WAN - Wireguard -> WAN Address).
Ich weiß nicht weiter.
Ideen?

Hallo,

ich bringe gerade noch eine Komponente in meine Konfiguration: Sensei.
Heute aktiviert. Im LAN funktioniert es tadellos. Über Wireguard, nicht wirklich.
Der Grund dafür: Pi-hole ist als primärer DNS für alle Geräte eingetragen.
Im Wireguard habe ich full Tunnel eingerichtet (0.0.0.0/0).
Ich sehe die Anfragen auf Pi auch ankommen. Aber Sensei tut nix. Scheinbar "sitzt" Sensei davor.
Einzige Lösung sozusagen ist OPNsense als DNS einzutragen und Pi als Forwarder. Ja, es gibt ein Topic schon dazu, aber das Thema hier ist etwas anders.
Ich hab grundsätzlich kein Problem OPNsense als primären DNS einzutragen, aber ich hab hier einfach ein Problem, ich kann entweder:
1) OPNsense als DNS: Sensi funkt, Pi zeigt mir keine Hostnames/IPs
2) Pi als DNS: Sensei funkt via Wireguard nicht, Pi zeigt Hostnames/IPs

Kann man die zwei glücklich verheiraten?

Bzw. ist Pi-Hole neben Sensei überhaupt notwendig?

Hallo,
ursprünglich hatte ich die Anfragen der Clients direkt zum Pi-hole geschickt - default DNS war Pi-hole.
Dann kam das Thema HAProxy, und DNS ist dann wieder zum OPNsense gewandert - damit ich eben Overrides (DNS A-Records) für interne Ressourcen erstellen kann.
Und jetzt weiß ich, warum ich ursprünglich Pi-hole als DNS gewählt habe: damit man im Pi-hole tatsächlich auch sieht, von welchen Client die Anfragen stammen. Alles was ich jetzt sehe ist die Firewall, klarerweise.
Kann ich das alles irgendwie verheiraten? Aber, ohne dass ich zwingend die conf Dateien über Shell beschreiben muss (sofern die "Lösung" ist Unbound auf Pi und dann A-Records in .conf Dateien schreiben)? Meine Hoffnung ist etwas wie "hostname beim forwarding weitergeben" oder sowas...?

Hallo,
kann mich jemand bitte aufklären?
Unbound DNS Overrides:
Ein Host Override, irgendwie logisch für mich, müsste jeweilige andere Einträge "overriden". Oder?
Also zB wenn Einstellungen wie:
Register DHCP leases oder Register DHCP static mappings angehakt sind
Dann dürfte Host Override diese DNS Einträge überschreiben?

Tut's aber nicht...

Wenn die Haken oben gesetzt sind, egal was in Overrides steht, wird einfach nicht honoriert. Wenn ich aber die Haken entferne, funktionieren die Overrides.

Ist das by Design?

Hallo,

so, bin soweit dass ich zumindest nen Überblick habe wie HAProxy funktionieren soll und was die Tabs machen.
Bitte korrigiert mich, wenn ich was falsch verstehe:
Grundsätzlich horcht "Public Services" (=Frontend) auf einer bestimmten Adresse für einen Backend Pool und gleichzeitig nimmt das richtige Zertifikat für die Server.
Dazu habe ich Rule und Condition konfiguriert, sodass beim "Host matches" = FQDN der webseite (in meinem esxi webgui) getroffen wird.
Beim Rule steht nur welchen Backend Pool verwenden soll.
Backend Pool zeigt dann letztendlich auf den richtigen "server" - esxi.mydomain.at.
Dieser FQDN ist auflösbar. Sowohl am Rechner wie auf der Firewall.

Vielleicht ausschlaggebend: ich verwende Pi-hole als DNS mit Conditional Forwarding.
Lt. OPNsense DNS lookup, schaut die Firewall in der eigenen Tabelle (127.0.0.1), nicht die Pi-hole.

Hier mal die Einstellungen:
Real servers:
Name: esxi_server
FQDN: esxi.mydomain.at
Port 443
Mode active
SSL checked
Verify SSL unchecked

Backend:
Name: esxi_backed
Servers: esxi_server
Health checking unchecked
Rest ist default.

Public Service:
Name: esxi_frontend
Listen Addresses: 0.0.0.0:443 127.0.0.1:443
Type: SSL offloading
Default Backend Pool: esxi_backend
Enable SSL offloading: checked
Certificates: *.mydomain.at
Default cert: gleich wie der obige
Rest ist default.

Conditions:
Name: esxi_condition
Host matches: esxi.mydomain.at

Rule:
Name: esxi_rule
IF
esxi_condition
AND
Use specified Backend Pool
User backend Pool: "esxi_backend"

Beim aufrufen des esxi_mydomain.at kommt nicht LE zert.

Was mache ich falsch?

Hallo,
die Anleitung-Oberfläche weicht komplett von der Oberfläche im OPNsense?
Ist das etwas neues? Es nervt auch immer 2x klicken zu müssen um in die Menüs reinzukommen... kann man das Umschalten irgendwie?
Danke

Hallo,
Bin etwas irritiert:
Hab meine DNS zum Cloudflare gezogen.
Dann mit Staging die Ausstellung eines Wildcard Zertifikats getestet - OK.
Umgestellt auf Productive, Validation failed.
Kennt wer das Problem?

Hallo,

was muss ich dafür tun, damit ich mein WebGUI von außen zugreifen kann?
Ich dachte es wäre genug dass die FW auf allen Intf hört und Firewall nach Innen am Port xxxx durchlässt.
Aber, scheinbar nicht.
Was fehlt mir bitte?

Hello,

meine Domäne ist vom Provider in .AT gehostet. Diese ist nicht auf der List der DNS Services in Challenge Request im OPNsense. (easyname.at)
Daher brauche ich manuell einen TXT record im DNS, was ich bei LE gelesen habe. Gut, erstellt.
Was nehme ich im OPNsense? nsupdate?
Und wie soll das funktionieren?