Topics

Hallo,
wie kann ich sehen, wann ein Rule das letzte Mal verwendet wurde, wenn überhaupt? Ich bilde mir ein, jemand hat das irgendwo erwähnt.

Hallo,

so, meine nächste Angriffsstelle wird sein die Zertifikate im internen Netz.
Natürlich, nicht etwas was ich unbedingt brauchen würde, mehr macht es Spass als was anderes, ich könnte genauso den ganzen Verkehr "innen" unverschlüsselt lassen. Aber, wo ist der Spass dran? :)

Und ich sag gleich: Erfahrung habe ich in dem Bereich in einer Windows Domäne mit einer eigenen CA. Also ganz neu ist mir das Thema nicht. Aber was neu ist: OPNsense und Let's Encrypt.

Nun, wenn es darum geht, die internen Server und Webseiten, sei das ESXI Webinterface, Ubuntu Server, Windows Server, wie auch immer, mit einem vertrauenswürdigen Zertifikat ausstatten, sodass wenn ich den FQDN der Seite aufrufe (die ohnehin schon die meisten im OPNsense drin sind), diese auch vertrauenswürdig erscheint und mir keine Fehler aufpoppen... Advanced, Continue...bah.

Ziel ist es für diese internen Quellen ein Zertifikat zu erstellen, automatisch aktualisieren. Die Seiten sollte ja auch nur intern erreichbar sein.

So, ich möchte nur erstmal wissen ob ich hier mit dem HAProxy erstmal gut bedient bin, ob das das richtige ist? Oder ist das mit Kanone auf Spatzen schießen? Gibt's was sinnvolleres? Denn wenn ja, werde ich eben hier weiter vorgehen.

Danke

Hello,
is it realistic to think I can force any DNS traffic in my network through the Pi-hole? Even if some machine decides, for to me unknown reason, to contact google DNS, which is what is happening right now (my docker container VM), I think I'd like it to go to the Pi-hole.

So I created these rules (see screenshots). Basically trying to move everything to the Pi-hole.

Of course, clients have Pi-hole set as DNS. However, I still get these google-dns leaks.

Should this work?

(how do I embed the screenshots into the post?)

Hallo,

ich habe eine WireGuard Anbindung vom Handy zu der OPNsense. Ich kann auf die lokalen Ressourcen zu Hause zugreifen, zb. die NAS.
Aber, ich kann am Handy dann nicht mehr surfen.
Bestimmt brauche ich ne NAT Regel. Hab versucht, WG Interface Translation zu WAN Interface. Funkt nicht.
Was fehlt mir denn?

Danke

Hallo,
habe mir das Buch OPNsense-Praktiker bestellt. Allerdings festgestellt dass das Buch aus 2019 ist und auf 19.1 basiert. Macht das was aus? Ist der Unterschied zu 21.1 enorm, sodass das Buch nicht mehr als "aktuell" gilt?
Danke

Hallo,
ich hab also jetzt meine Pi-hole mit Unbound laufen. Daher fände ich jetzt die Unbound am OPNsense etwas unnötig. Wollte auflösen. DNSmasq aktiviert, denke richtige Einstellungen getroffen und würde folgendes erwarten:
Die Domain Overrides funktionieren und die Anfragen die vom Client an die OPNsense gehen eben umgeleitet werden, und da DNSmasq eigentlich ein Forwarder ist, rest eben auf meine Pi geht.
Aber, damit habe ich wieder das Problem mit dem Override: die IP in der Firma (IPsec Tunnel) kann ich pingen aber nicht auflösen.
Sollte das so nicht funktionieren?

Hallo,

bisschen Hilfe bitte:
NAS ist in VLAN1, Server ist in VLAN2, sagen wir als Beispiel.
Server aus VLAN2 will ein NAS-NFS-Share aus VLAN1 mounten.
Mounten geht nicht und hängt.
Schaue ich im Live-View - nix geblockt.
Mache ich ein Rule der sagt "alles IP4* aus VLAN2 mit Dest VLAN1 erlauben", und Share wird gemountet.
Dann habe ich es etwas eingegrenzt, Port TCP/UDP 111 und 2049 Dest, und will mounten. Passt.
Ich weiß nicht was fehlt, aber Krux an der Sache: warum zeigt mir Live Log nix an, wenn Ports fehlen? Logging ist auf allen Rules in Beiden Netzen auf grün.
Was fehlt mir bitte?

Hallo,

ich kämpfe noch immer etwas mit DNS und es ganz zu verstehen, aber denke ich habe es schon relativ gut im Griff.
In der Konstellation habe ich ein Problem, den ich denke ich so einfach nicht lösen kann. Oder vielleicht schon, aber ich sehe noch keinen Weg.

Grundlegend habe ich in der OPNsense ein IPsec Tunnel mit meiner Firma. Die Domäne dort wird in Unbound via Overrides gefunden. Das funktioniert tadellos.
Seit gestern habe ich auch einen OpenVPN Tunnel mit PIA/NordVPN erstellt, und das funktioniert auch gut.
Aber, hier das Problem:
Damit die DNS-Auflösung in der Firma funktioniert, müssen die Anfragen bei OPNsense über LAN rausgehen. Kein Forwarding.
Damit aber die Pakete bei der Verwendung des Tunnels (nur ein paar VMs) sauber nur über dem Tunnel gehen, und keine DNS Leaks vorkommen, muss ich Port Forwarding anhaken und die entsprechenden Server bei System-Settings-General eingeben (die vom VPN-Provider). Aber, dann es es natürlich mit der Auflösung in der Firma vorbei.
Wie kann ich das am saubersten lösen? Brauche ich einen zweiten DNS wie zB. Pi-Hole (den ich aber ohnehin mal installieren will)? Oder ist das über Firewall Regeln zu regeln?
Netzwerk-Plan, falls notwendig, kann ich liefern.

Hallo Leute,

nachdem ich VPN mit PIA nicht zufriedenstellend zum Laufen bekommen kann (und mittlerweile glaube dass es nicht so zu bekommen ist, zumindest nicht mit OpenVPN), gibt es andere Betreiber die mit OPNsense besser kompatibel sind?

Was ich will:
Grundsätzlich nur einzelne Clients über VPN routen.

PIA funktioniert eigentlich nur wenn man alles über VPN routet. Ist mit den Optionen Don't pull routes und Don't add/remove routes gar nicht wirklich kompatibel. Das erste verursacht Fehler bei der Verbindung und das zweite scheint überhaupt nicht zu funken. Die Firewall Rules greifen nicht, die IP bleibt gleich. Schon viele Anleitungen angesehen, nachgemacht und nix. Entweder alles oder nix. Oder es funkt nicht, zB. kein DNS.

Ich sehe NordVPN hat einige Anleitungen für pfsense und OPNsense. Wäre ggf. Wert zu probieren. Alternativen?

Hallo,

kann es sein, dass die Sache nicht funktioniert?
Ich habe etliche Tutorials durch, auch hier ein Thread aus Oktober 2020...
OpenVPN zu PIA wird aufgebaut, und im "Default-Modus", also ohne dass die Optionen "Don't pull routes" oder "Don't add/remove routes" angehakt sind, ich eine VPN-Adresse bekomme - aber, nur für das ganze Netz.
Ich habe dann gemäß Tutorials NAT und Firewall Rules erstellt, die dazu führen sollten, dass ein Client nur über VPN geroutet wird. Daher folgende zusätzliche Einstellungen vorgenommen:
Gateways, single: Priority geprüft, sichergestellt dass WAN_DHCP 250 ist und PIA 252.
PIA_VPN Interface erstellt, nur "Enable Interface".
Im NAT: Interface PIA_VPN; Source LAN net; Translation/target PIA_VPN address
Aliases: Hosts_PIA_VPN ip_des_hosts
Firewall rules: Source: Hosts_PIA_VPN; Gateway: PIA_VPN_VPNV4
IP Adresse des PIA Gateways scheint korrekt zu sein: 10.41.112.1 (und nicht irgendeine Nummer, wie ich auf GitHub als Bug aus Oktober genommen habe).
Option "Don't pull routes" angehakt.

So sollte es ja funken. Tut's aber nicht. Die IP des Clients bleibt gleich.

Bevor wir tiefer in die Sache gehen, sollte das überhaupt richtig funktionieren?

Und eine Sache die mich irritiert, auch gesehen bei Wireguard:
Wenn man eine Verbindung erstellt, scheint das System ein Interface zu konfigurieren. Bei OpenVPN heißt eben OpenVPN. Aber, das virtuelle Interface erscheint in Assignments trotzdem (ovpnc1).
Sollte ich den mal aktivieren, und ihm Namen PIA_VPN geben, erscheint mir bei der Erstellung es NAT-Rules in der Liste der Interfaces "OpenVPN" und "PIA_VPN". kA welches da richtig ist? Warum sind ja zwei da??

EDIT:
Verzweifle.
Auch wenn ich die Sache umdrehe, also ohne die Haken "Don't pull routes" gesetzt, wo dann alles durch die VPN Verbindung geht, wenn ich dann ein Rule erstelle der sagt "dieser Rechner, Gateway WAN_DHCP", nope. Trotzdem geht's durch VPN Gateway (PIA IP).
Wie kann ich das bitte troubleshooten, warum nimmt er nicht das top rule?

EDIT2:
Habe rausgefunden dass ich mit dem Einsatz von "Don't pull routes" und NAT+Rules wie mehrfach in Guides empfohlen, doch pingen kann, aber keine Webseite. Also kein DNS... nun, wie bekomme ich DNS hin?

Das bekomme ich auch im Log:
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'dhcp-option' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'route-ipv6' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'redirect-gateway' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   PUSH: Received control message: 'PUSH_REPLY,comp-lzo no,redirect-gateway def1,route-ipv6 2000::/3,dhcp-option DNS 10.0.0.243,route-gateway 10.32.112.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.32.112.224 255.255.255.0,peer-id 2,cipher AES-128-GCM'

Hello,
what is a proper way to suggest a (small) optical change?

Hallo,
ich habe meine VLANs erstellt, Switches konfiguriert und aktuell ist überall Any -> Any. Das wird jetzt geändert und ich plane gerade wie ich das anstelle. Daher wollte ich mir hier vorher paar Tipps von euch holen, wie ihr das macht.
Also grundsätzlich habe ich allgemeine Rules, zB. HTTP/S, DNS usw out. Das gehört für die meisten. Also wird es wohl ein (bzw. mehrere) Floating rules.
Aber, zB dort stört mich was: ich könnte entweder INT-Gruppierung machen oder auswählen. Geht, aber stört mich massiv dass ich in der Überblick nicht sehen kann, welche Intf oder Gruppen ausgewählt sind.
Alternative ist ich mache rules für jedes Intf, was aber ziemlich blöd ist, da man die nicht kopieren/hinzufügen kann, sondern nur als neu erstellen kann.
Grundsätzlich praktiziere ich alles Deny und dann erlauben schrittweise. Das gilt aber runter bis zum letzten Port.
Ich tät mich einfach um paar Tipps freuen.

Hallo,
wie schon der Titel sagt: mein Plex Server rennt auf einem Docker, auf einem Ubuntu-Server, und dieser ist in einem eigenen VLAN als die IoT Geräte, wie RP4 wo Kodi drauf ist oder mein Rechner wo auch Kodi installiert ist.
Plex wird nicht gefunden, wenn man danach sucht, aber funktioniert wenn ich ihm mit der IP Adresse anspreche.
Lt. Plex Doku ist es so, dass Plex aktuell "GDM network discovery" nutzt), oder auch ältere Bonjour/Avahi discovery.
Ich habe mir den udp broadcast relay geholt, und die Ports 5353, 32410, 32412, 32413 und 32414 dort eingetragen, für LAN und Server Interface. Mehr bräuchte man angeblich nicht.
Sollte das funktionieren?

Hallo,
wo nimmt sich bitte Unbound DNS die externen Server wenn:
- keine im Unbound DNS zu finden sind?
- keine im System: Settings: General DNS Servers konfiguriert sind
- Allow DNS server list to be overridden by DHCP/PPP on WAN deaktiviert ist?

Hallo,
ich schaue mir gerade das Thema Port Forwarding.
Was ich versuche gerade ist den Plex-Server aus anderem Netz zu entdecken (discovery).
Die Suche des Servers funktioniert mit Broadcast wenn ich das richtig verstehe, und deswegen habe ich hier einige Ports weitergeleitet, die lt. Plex benötigt sind.
Ich habe paar Netze aktuell, LAN und IoT.
Die Idee dahinter ist, wenn ein Gerät in einem der beide Netze nach dem Plex Server sucht, dieser beim SRV-MEDIA gefunden wird.
Ich habe paar Rules erstellt, sagt mir bitte die Konfiguration grundlegend korrekt ist.

Hallo,

ich versuche (das erste Mal zu Hause) VLANs zu konfigurieren. Also wissen müsste ich schon wie man es außerhalb der OPNsense macht, und ich habe mir die Anleitungen zur OPNsense angeschaut. Aber damit vielleicht das Troubleshooting leichter fällt, schildere ich das ganze Mal.

ESXi Host - vSwitch1 (vmnic1) hat eine Portgruppe "Servers" dran, die die ID 10 eingetragen hat.
Dann zum Switch. Dort sind sowohl Ports die zum Server wie auch zur OPNsense gehen, die auf VLAN 10 getaggt sind. In OPNsense hab ich unter Other Types VLAN die VLANs erstellt. Diese über Assignments zu den Interfaces gemacht. Dann die Interfaces konfiguriert indem ich die Adresse eingetragen habe (also das, was für den Server der Gateway sein wird, 192.168.10.254), Upstream GW ist auto-detect.
DHCP ist kein Thema, denn die IP des Servers ist statisch.
Auf der Firewall habe ich auch IPv4 an Alle geöffnet.

Und ich kann die OPNsense nicht anpingen...

Habt ihr Idee was mir fehlt?

Ich verstehe es nicht.... hab nur lauta Spinner hier... wollte grad mit SSH drauf...

Putty -> IP:22 -> fingerprint OK -> kommt admin/password, eintippen -> putty geht zu

Hää??

EDIT:
Schritt weiter:
"This account is currently not available".

Warum nicht? Ist der einzige Account, mein Hauptadmin.

Hallo,

sorry, ich hab noch eine Frage zu der Firewall:
Ich verstehe es so: die Rules werden von oben nach unten abgearbeitet. Wenn ein Rule zutrifft, werden die restlichen ignoriert. Korrekt?
So, das würde dann auch bedeuten, wenn ich ein "IPv4 * */*/*/*/*/* Default allow LAN to any rule" ganz oben in der Liste habe und aufdrehe, sind alle anderen Rules komplett obsolet und ignoriert.
Sofern das stimmt, dann verstehe ich NICHT, warum Live Firewall Log das zeigt siehe Screenshot).

Kann mich bitte jemand aufklären?

Hallo,
ich taste mich in das Thema Let's Encrypt ran. An meiner Sophos UTM hatte ich auch die LE Zertifikate für Web GUI, und daher dachte ich hier das gleiche zu machen. Jedoch leider nicht ohne Probleme.
Ich habe das Plugin installiert und versuche es nun zu konfigurieren:
Enable Plugin...
Staging Environment
Accounts: Firewall Cert, meine Mail Adresse
Challenge Types:
Firewall Cert Web GUI
HTTP-01
OPNsense Web Service
WAN
Dann + bei Certificates
Common Name: my FQDN
und Save
Anhaken und Isssue/Renew Certificates Now

Dann kommt:
Pending unknown unknown

Dabei bleibt es 10-20 Sekunden, und passiert erstmal nix, und mein Internet stribt, nix mehr geht (einige Minuten gewartet).
Kann nur Cert entfernen und rebooten, damit ich wieder Internet hab.

Ich mache bestimmt was falsch, oder?

Hallo,
meine Frau kommt via OPNsense leider nicht in ihr Netz in der Firma.
Sie verbindet sich in Windows mit VPN zu vpn.company.com, und dann mit RDP zu tsintern.mgmt.company.com.
Die RDP Verbindung zu dem Server funkt nicht.
RDP geht allerdings normal, ich kann mich über meinem S2S Tunnel in meine Firma verbinden.
Ich habe auf allen FW-Logs Logging eingeschaltet, dort poppt nix auf.
DNS ist es nicht, die FQDN wird aufgelöst.
Pingen kann ich den FQDN erfolgreich.
Wo soll ich denn noch schauen?
Danke