Messages

121

German - Deutsch / Re: Multi WAN IPv6

« on: June 28, 2024, 11:29:03 am »

Das hatte ich mal eine Zeit lang laufen, funktioniert nicht stabil, wenn die public IPv6 sich ändert.

122

German - Deutsch / Re: Alias Fenster starr

« on: June 26, 2024, 01:45:32 pm »

Ich habe das Problem auch, seit wann, kann ich nicht genau sagen. Kam mit irgendeiner der neueren Versionen.

123

Hardware and Performance / Re: Router or openwrt?

« on: June 26, 2024, 09:51:39 am »

Ubiquiti aps cost a lot and dont come with voip capabilities

Actually they're fairly cheap, at least if you think in business terms.

You might want to look into mikrotik, there are very cheap devices available.

Even if fisrly cheap they dont ussualy come with voip

Because they're access points, none of this comes with voip, and it really shouldn't either.

124

Hardware and Performance / Re: Router or openwrt?

« on: June 25, 2024, 12:39:25 pm »

Ubiquiti aps cost a lot and dont come with voip capabilities

Actually they're fairly cheap, at least if you think in business terms.

You might want to look into mikrotik, there are very cheap devices available.

125

German - Deutsch / Re: Spung zwischen IP-Klassen nachteilig oder nicht?

« on: June 25, 2024, 12:35:11 pm »

IP Klassen gibts nicht mehr, aber man kann die Konvention durchaus vernünftig nutzen, vielleicht:

- geroutete Netze 10/8
- Kundennetze 172.16/12
- isolierte Netze / Koppelnetze 192.168/16

oder so ähnlich.

126

German - Deutsch / Re: Verzweifle an einer Regel: Client zu Internet

« on: June 25, 2024, 11:18:11 am »

@bimbar: danke für die Infos!

Haste vielleicht noch Ideen zu meinem Port-Problem, welches ich mittlerweile in ein anderes Topic ausgelagert habe (siehe oben)

Habe ich gelesen, da stimme ich Patrick zu, ich verstehe aus dem Post nicht, warum das nicht funktioniert, da ist wahrscheinlich irgendein Detail fehlkonfiguriert.

127

German - Deutsch / Re: pfSense mit neuer OPNsense Hardware austauschen

« on: June 24, 2024, 06:55:33 pm »

Öhm, also bei mir kann man auch echter Hardware für jedes Interface eine beliebige MAC zuweisen.

Das hängt von der Hardware ab, grundsätzlich ist aber abzuraten. Enterprise NICs haben manchmal einen Pool von MAC Adressen zugewiesen. Beliebige MACs vergeben kann zu Kollisionen führen, und ich sehe sowieso keinen Grund dafür, das in halbwegs normalen Setups zu tun.

128

German - Deutsch / Re: Verzweifle an einer Regel: Client zu Internet

« on: June 24, 2024, 06:48:30 pm »

Danke für die Subnetzerklärung, ja, da werde ich noch mehr eintauchen müssen.
Habe jetzt mal statt den IPs für Subnetze die Interfaces genommen. Funktioniert auch.

Weil diese Regel ja nicht gegriffen hat. Das Paket ging ja nicht von "any" nach "! private_networks"  - offensichtlich gab es weiter unten in der Reihenfolge eine Regel, die das erlaubt hat.

Es gab aber keine.

Sie bedeutet "diese Regel gilt für alle Pakete, bei denen die Quelle any und das Ziel nicht private_networks ist".

Ah! verstanden... aber da muss man ja bei OPNsense eine völlig eigene Logik lernen... puh  wie ne Fachsprache.
Oder ist es bei anderen FWs ebenfalls gängig und nur ipfire ist etwas für 'consumer'?

Mein WLAN-Problem verstehe ich allerdings weiterhin nicht.

Jede Firewall hat ihre eigene Logik, das "!" als Verneinung aber kommt aus der Programmiersprache C und wird ziemlich universal verstanden.
Ansonsten ist allen gemein, daß es im Grunde Regelmaschinen sind, die in der Form "Paket Match -> Action" funktionieren.

129

German - Deutsch / Re: Verzweifle an einer Regel: Client zu Internet

« on: June 24, 2024, 06:47:33 pm »

Wenn dein WLAN ein 30stelliges zufälliges Passwort hat, und nur vertrauenswürdige Geräte drin sind, mache ich mir zumindest dahingehend keine Sorgen.

Klar, da kann man privat denk ich entspannt sein. Bei einem Firmennetzwerk macht es denk ich durchaus Sinn zu trennen. BYOD und Co.

Warum Floating? Die Regel gehört auf das LAN-Interface

Ich bin einfach dem Kollegen @bimbar gefolgt. Er setzt auf Floating.
Im Grunde hat man dann alle Regeln parat.
Gibt es Nachteile?

Ich denk, die Übersichtlichkeit leidet dann doch darunter. Vermutlich wäre das der Grund die Regeln doch auf dem jeweiligen Interface zu machen.

Habe die Regel im LAN erstellt. Von LAN net zu WLAN net und erreich das Ding trotzdem nicht.. hä?
Irgendwo stehe ich wohl auf dem Schlauch.

Hier gibt es viele Möglichkeiten, das zu strukturieren, von denen nicht unbedingt eine richtig und die andere falsch ist.
Ich bin kein Fan von den Interfaceregeln, weil wenn man mal was anders routen will, dann passen die Firewallregeln alle nicht mehr (hauptsächlich ein Thema bei größeren Umgebungen).
Außerdem bin ich Astaro geprägt, wo es die Möglichkeit nicht gab, Regeln an Interfaces zu hängen.
Vielleicht sind aber Interface spezifische Regeln schneller - falls das relevant ist.

130

24.1 Legacy Series / Re: Static IPv6 gateway not adding route

« on: June 24, 2024, 02:27:12 pm »

IPv6 can absolutely use static routes.

131

German - Deutsch / Re: pfSense mit neuer OPNsense Hardware austauschen

« on: June 23, 2024, 12:09:34 am »

Ich habe die gleiche MAC Adresse genommen, die auch in meiner pfSense war und diese meiner OPNsense zugewiesen. Ich weiß nicht so wirklich weiter, kann ich mehr Infos bieten mit eventuellen Log-Outputs o.s.?

Wie die gleiche MAC Adresse genommen? Eine andere Hardware wird typischerweise eine andere MAC Adresse haben.

132

German - Deutsch / Re: Verzweifle an einer Regel: Client zu Internet

« on: June 23, 2024, 12:07:53 am »

Ich mache mir ein Alias "netgroup_internet_inverted", wo alles drin ist, was nicht internet ist (interne netze bei mir), dann eine Floating Regel accessgroup_internet -> ! netgroup_internet_inverted allow. In accessgroup internet ist alles drin, was ins internet können soll.
Ich würde auch lieber ein Zielobjekt Internet oder ein Destination Interface Internet haben, gibts aber nicht, und so gehts auch.

Zu den Fragen:

1. Ich mache nur Floating Regeln, ich filtere nicht gern nach Interfaces, daher steht da bei mir in der Regel "any" drin. Du kannst nur 1 (In-) Interface in einer Regel auswählen. Ebenso verzichte ich komplett auf "deny" Regeln. Bei mir wird erlaubt, was darf, der Rest geht in den default drop. Damit ist dann auch die Reihenfolge der Regeln egal und eine wichtige Fehlerquelle damit ausgeschlossen. Zugegebenermaßen gibt es Fälle, wo das nicht praktikabel ist.

2. ja

3. Wenn ich die Frage verstehe, dann ja.

4. Würde ich als "Allow LAN to WLAN" machen und den Rest einfach nicht erlauben. Deswegen bin ich auch kein Freund der Regelschematik:

- Deny Sachen die nicht sollen
- Allow den Rest, wg. Internetzugang

Lieber direkt

- Allow private to !private

133

General Discussion / Re: advices and suggestion on creating an company network

« on: June 19, 2024, 10:18:19 am »

Hire a professional or a company specialised in infrastructure.

Please do that.

134

German - Deutsch / Re: Mehr als 255 VHIDs bei CARP?

« on: June 14, 2024, 10:01:52 am »

Bitte routet nicht auf Switchen. Wozu hat man dann eine Firewall, wenn der ganze Traffic an ihr vorbeiläuft.

135

24.1 Legacy Series / How can I send logs to the wazuh agent

« on: June 13, 2024, 06:18:09 pm »

I quote the documentation:

Selecting which logs to ingest

Our Wazuh agent plugin supports syslog targets like we use in the rest of the product, so if an application sends its feed to syslog and registers the application name as described in our development documentation it can be selected to send to Wazuh as well.

For Intrusion detection we can send the events as well using the same (eve) datafeed used in OPNsense, just mark the Intrusion detection events in the general settings.

But what does it mean?