Messages

61

22.1 Legacy Series / Re: Settings for view-only access

« on: January 28, 2022, 09:26:51 pm »

So thats the permissions I can choose:

AJAX: Get Service Providers
AJAX: Get Stats
All pages
Dashboard (all)
Dashboard (widgets only)
Diagnostics: ARP Table
Diagnostics: Authentication
Diagnostics: Backup / Restore
Diagnostics: Configuration History
Diagnostics: Factory defaults
Diagnostics: Firewall sessions
Diagnostics: Firewall statistics
Diagnostics: Halt system
Diagnostics: Logs: DHCP
Diagnostics: Logs: Firewall: Live View
Diagnostics: Logs: Firewall: Plain View
Diagnostics: Logs: Firewall: Summary View
Diagnostics: Logs: Gateways
Diagnostics: Logs: Settings
Diagnostics: Logs: Settings/Targets
Diagnostics: Logs: System
Diagnostics: NDP Table
Diagnostics: Netflow configuration
Diagnostics: Netstat
Diagnostics: Network Insight
Diagnostics: Packet Capture
Diagnostics: PF Table IP addresses
Diagnostics: Ping
Diagnostics: Reboot System
Diagnostics: Routing tables
Diagnostics: Shaper status
Diagnostics: Show States
Diagnostics: System Activity
Diagnostics: System Health
Diagnostics: Test Port
Diagnostics: Traceroute
Firewall: Alias: Edit
Firewall: Aliases
Firewall: Categories
Firewall: NAT: 1:1
Firewall: NAT: 1:1: Edit
Firewall: NAT: NPT
Firewall: NAT: NPT: Edit
Firewall: NAT: Outbound
Firewall: NAT: Outbound: Edit
Firewall: NAT: Port Forward
Firewall: NAT: Port Forward: Edit
Firewall: Normalization
Firewall: Rules
Firewall: Rules: Edit
Firewall: Schedules
Firewall: Schedules: Edit
Firewall: Shaper
Firewall: Virtual IP Address: Edit
Firewall: Virtual IP Addresses
Interfaces: Assign network ports
Interfaces: Bridge
Interfaces: Bridge edit
Interfaces: GIF
Interfaces: GIF: Edit
Interfaces: GRE
Interfaces: GRE: Edit
Interfaces: Groups
Interfaces: Groups: Edit
Interfaces: LAGG
Interfaces: LAGG: Edit
Interfaces: Loopback
Interfaces: PPPs
Interfaces: PPPs: Edit
Interfaces: VLAN
Interfaces: VLAN: Edit
Interfaces: VXLAN
Interfaces: WAN
Interfaces: Wireless
Interfaces: Wireless edit
Lobby: Login / Logout / Dashboard
Nut
OPNsense central management
Sensei: Dashboard / Report access
Services: Captive Portal
Services: Chrony
Services: DHCP Relay
Services: DHCP server
Services: DHCP Server: Edit static mapping
Services: DHCPv6 Relay
Services: DHCPv6 server
Services: DHCPv6 Server: Edit static mapping
Services: DNS Filter
Services: Dnsmasq DNS: Edit Domain Override
Services: Dnsmasq DNS: Edit Host
Services: Dnsmasq DNS: Log File
Services: Dnsmasq DNS: Settings
Services: Intrusion Detection
Services: MDNS Repeatery
Services: NTP
Services: Proxy
Services: Router advertisements
Services: Unbound (MVC)
Services: Unbound DNS: Access Lists
Services: Unbound DNS: Advanced
Services: Unbound DNS: Edit Domain Override
Services: Unbound DNS: Edit Host Override
Services: Unbound DNS: General
Services: Unbound DNS: Log File
Status: CARP
Status: DHCP leases
Status: DHCPv6 leases
Status: HA backup
Status: Interfaces
Status: IPsec
Status: IPsec: Leasespage
Status: IPsec: SAD
Status: IPsec: SPD
Status: NTP
Status: NTP GPS
Status: NTP PPS
Status: OpenVPN
Status: Services
Status: System logs: Captive portal
Status: System logs: IPsec VPN
Status: System logs: NTP
Status: System logs: OpenVPN
Status: System logs: PPP
Status: System logs: Routing
Status: System logs: Wireless
Status: Traffic Graph
Status: Wireless
System Setup Wizard
System: Advanced: Admin Access Page
System: Advanced: Firewall and NAT
System: Advanced: Miscellaneous
System: Advanced: Network
System: Advanced: Tunables
System: Authentication Servers
System: CA Manager
System: Certificate Manager
System: Crash Reporter
System: CRL Manager
System: Deny config write
System: Firmware
System: Gateway Groups
System: Gateways
System: Gateways: Edit Gateway
System: Gateways: Edit Gateway Groups
System: General Setup
System: Group manager
System: Group Manager: Add Privileges
System: High Availability
System: License
System: Settings: Cron
System: Static Routes
System: User Manager
System: User Manager: Add Privileges
System: User Password Manager
VPN: IPsec
VPN: IPsec: Edit Phase 1
VPN: IPsec: Edit Phase 2
VPN: IPsec: Edit Pre-Shared Keys
VPN: IPsec: Key Pairs
VPN: IPsec: Mobile
VPN: IPsec: Pre-Shared Keys List
VPN: OpenVPN: Client
VPN: OpenVPN: Client Export Utility
VPN: OpenVPN: Client Specific Override
VPN: OpenVPN: Server
VPN: Wireguard
Services: Monit System Monitoring page
XMLRPC Library

I can't find an entry with read only here.

I have already tried a few things from the list here.
But it was always possible for the user not only to view the configuration but also to edit it.

62

22.1 Legacy Series / Settings for view-only access

« on: January 28, 2022, 11:18:34 am »

Is there a recommendation as to which settings are necessary for "view-only" access to the webgui?

63

German - Deutsch / Re: Unterstützung für korrekte DNS-Konfiguration

« on: October 18, 2021, 09:22:04 am »

Hat hier noch jemand eine Idee?

64

German - Deutsch / Re: Unterstützung für korrekte DNS-Konfiguration

« on: October 14, 2021, 04:14:30 pm »

Würde es funktionieren wenn ich hier bei "Exclude Interfaces" alle Interfaces aus das <TK VLAN Interface> auszuwählen:?

Das habe ich versucht. Jedoch werden dennoch die in Unbound eingetragenen Cloudflare-DNS-Server genutzt.

Darum habe ich in Unbound die Schnittstelle des TK-VLANs explizit mit ausgeschlossen. In dieser Konstellation war dann gar keine Namensauflösung mehr aus dem TK-Netz möglich.

Also habe ich wie von @KHE beschrieben Dnsmasq-DNS aktiviert auf die TK-VLAN-Schnittstelle beschränkt und an Port 53535 gebunden. Port 53 habe ich zum Test auch versucht, da die Schnittstellen die jetzt Unbound nutzen sollten und die die Dnsmasq nutzen sollten sich durch die gesetzten Ausschlüsse nicht überschneiden. Hier konnte Dnsmasq aber nicht starten. Fehlermeldung: "Port 53 already in use by UNBOUND".

Dann habe ich das hier versucht:

Dann den Dnsmasq-DNS auf anderen Port binden und Portfoward vom <TK VLAN Interface> Port 53 auf den gewählten Port des Dnsmasq-DNS einrichten.

Mit dem Ergebnis, das wieder die in Unbound hinterlegten Cloudflare-DNS-Server genutzt wurden!
Der Eintrag im Protokoll von Dnsmasq deutet auch darauf hin warum:

Code: [Select]

dnsmasq[16823] using nameserver 127.0.0.1#53
Sobald Unbound eingerichtet ist scheint das System immer die dort konfigurierten DNS-Server zu nutzen.


Was könnte ich noch versuchen um zu erreichen, dass die vom Provider zugewiesenen DNS-Server ausschließlich für die TK-Anlage genutzt werden?

65

German - Deutsch / Re: IPv6 und DHCP Server richtig konfigurieren

« on: October 14, 2021, 12:25:59 pm »

In den Diskussionen auf Github kommt es teilweise so rüber als wären IPv6-Präfix-Aliase nur eine Anforderung für sehr spezielle Konstellationen.

Wenn es eine Upvote-Funktion für Features gäbe wäre das aber wahrscheinlich einer der gefragtesten Neuerungen.

Allein dieser Thread hier wurde bereits mehr als 7000x aufgerufen. Und es gibt ja noch weitere Threads mit ähnlichen Anfragen.

Die Möglichkeiten die sich mit IPv6-Präfixen ergäben wäre vielfältig und würden viele Probleme lösen, bzw. vieles ermöglichen was bisher nicht oder nur mit Umwegen geht.


Ich hoffe sehr, dass eine Implementierung sehr zeitnah erfolgt.
Zumal hier ja bereits eine funktionsfähige Lösung programmiert wurde, wenn ich den Diskussionsverlauf auf Github richtig verfolgt habe.

66

German - Deutsch / Re: Unterstützung für korrekte DNS-Konfiguration

« on: October 13, 2021, 06:05:08 pm »

Die manuelle Lösung scheidet wohl leider aus, da die DNS-Server vom Provider teilweise wechseln.
Zumindest wurde mir das vom Provider mitgeteilt, als ich die DNS-Server erfragen wollte.

Würde es funktionieren wenn ich hier bei "Exclude Interfaces" alle Interfaces aus das <TK VLAN Interface> auszuwählen:?


Würde neben dem TK-Netz dann die OPNsense für sich selbst auch die DNS-Server vom Provider nehmen?

Müsste dann die Beschränkung auf alle Netzwerkschnittstellen außer dem <TK VLAN Interface> in den Unblound-Einstellungen dennoch bestehen?

67

German - Deutsch / Unterstützung für korrekte DNS-Konfiguration

« on: October 13, 2021, 10:21:03 am »

Hallo,

aktuell sieht meine DNS-Konfiguration so aus:





Das funktioniert soweit auch wunderbar.

Für die VoIP-Telefonie möchte ich nun aber die vom Provider über PPPoE zugewiesenen DNS-Server nutzen.
Die TK-Anlage hängt in einem eigenen VLAN/Subnetz.

Was müsste ich einrichten, damit die DNS-Server des Providers ausschließlich für das VoIP-Netz genutzt werden, alle anderen Schnittstellen aber meine bisherige Konfiguration nutzen?

68

German - Deutsch / Re: Unerwünschte Portscans durch OPNsense ins Internet

« on: October 05, 2021, 08:01:29 pm »

Danke.

habe im Netz erstmal alles blockiert und dann sukzessíve einzelne Clients wieder freigeben.

Der Verursacher konnte so ausfindig gemacht werden.

69

German - Deutsch / Re: Unerwünschte Portscans durch OPNsense ins Internet

« on: October 05, 2021, 07:23:10 pm »

Welche Möglichkeiten hätte ich denn noch um den Fehler finden zu können?

70

German - Deutsch / Re: Unerwünschte Portscans durch OPNsense ins Internet

« on: October 05, 2021, 07:01:26 pm »

Habe eben im Liveprotokoll nochmal den Filter auf dst_port 445 gelegt. Ohne Einschränkung der Schnittstelle oder anderem.

Das Ergebnis sah exakt aus wie auf meinen Screenshot heute morgen.


Nachdem ich eine Floating-Rule angelegt hatte, die für die WAN-Schnittstelle ausgehenden SMB-Traffic blockiert war Ruhe im Log. Auch keine Block-Einträge.

71

German - Deutsch / Unerwünschte Portscans durch OPNsense ins Internet

« on: October 05, 2021, 08:25:51 am »

Hallo,

mein Provider (Telekom Deutschland) hat mich informiert, dass von meinem Internetanschluss aus unerwünschte Zugriffe auf fremde Computer stattfinden würden.
Dem bin ich natürlich nachgegangen und habe mir auch ein Logfile vom Abuse-Team der Telekom geben lassen.

Offenbar werden öffentliche IP-Adressen nach offenen SMB-Ports abgescannt.

Über das Firewall-Protokoll der OPNsense wollte ich nun den Verdächtigen in meinem Netzwerk ausfindig machen.
So wie es scheint ist aber die OPNsense selbst der Verursacher.


Woher stammen diese Anfragen??

72

German - Deutsch / DHCP-Server und DHCP-Relay parallel nutzen

« on: August 11, 2021, 09:11:35 am »

Hi,

ich habe eine Reihe von VLANs eingerichtet.
Für einen Teil der VLANs soll der DHCP-Server der OPNsense genutzt werden.
Für bestimmte VLANs sollen DHCP-Anfragen aber an jeweils verschiedene andere DHCP-Server weitergeleitet werden.

Leider scheint es in der Default-Konfiguration nicht möglich zu sein den internen DHCP-Server und die Relay-Funktion simultan zu betreiben.

Gibt es für mein Anliegen hier dennoch einen Weg?

73

German - Deutsch / Strato DynDNS aktualisiert Adresse nach DSL Abbruch nicht

« on: August 07, 2021, 09:43:49 pm »

Hallo,

ich habe einen Dyn-Record bei Strato für meine Domain angelegt und das Dynamische DNS Plugin in OPNsense entsprechend für Strato konfiguriert.

Die Aktualisierung der IP-Adresse bei manuellem Neu-Verbinden der Internetverbindung funktioniert ohne Probleme.

Da meine VDSL-Verbindung netzseitig jedoch leider sehr Störanfällig ist, kommt es häufig zu unerwünschten Verbindungsabbrüchen.
Tritt so ein Verbindungsabbruch auf, kommt es häufig vor, dass die neue IP-Adresse dann nicht an Strato gemeldet wird. Auch nach mehreren Stunden nicht.
Erst wenn ich den Dienst kurz deaktiviere und wieder neu aktiviere und damit den Vorgang neu anstoße, wird die neue IP umgehend an Strato übermittelt.

Wie kann ich dieses Verhalten ändern, so dass die neue IP in jedem Fall zuverlässig an Strato gemeldet wird?

74

German - Deutsch / Re: IPv6-Präfix vom Provider wird nicht immer zugewiesen

« on: July 14, 2021, 01:31:55 pm »

Sorry, das war jetzt vielleicht etwas unglücklich formuliert.
Mit den von BrAiNee erwähnten Anpassungen meinte ich nicht den Patch sondern

Firewall>Settings>Advanced>"Dynamic state reset" JA und Interfaces>Settings>"Prevent release" JA

75

German - Deutsch / Re: IPv6-Präfix vom Provider wird nicht immer zugewiesen

« on: July 14, 2021, 09:48:24 am »

Kurze Rückmeldung meinerseits:

Seit den von BrAiNee erwähnten Anpassungen ist das Problem nicht mehr aufgetreten.
Nach einem Verbindungsabbruch wird ein neuer Präfix sowie eine neue WAN-IPv6-Adresse zugewiesen während die alte IPv6-Adresse noch eine Zeit lang mit dem Vermerk "(deprecated)" angezeigt wird.

Auch der dhcpd6-Dienst ist seitdem nicht mehr stehen geblieben.