Messages

106

German - Deutsch / Re: WAN Interface logs

« on: July 25, 2022, 04:27:58 pm »

Deshalb habe ich das Video auch nicht ganz verstanden?
Es wurde eine Firwall-Regel erstellt anhand Blocklisten und GEO-IPs.

107

German - Deutsch / Re: WAN Interface logs

« on: July 25, 2022, 09:54:53 am »

Bei mir ist das alles privat, ein APU-Board mit einem PC per LAN und 3 WLAN Geräten angebunden.

Intrusion Detection ist für mein APU-Board wohl zu viel.

Das Logging auf dem WAN wäre kein Problem für die APU, aber ich werde das wohl abgeschaltet lassen.
Vielleicht ab und an mal einschalten um zu sehen was so los ist. Schont die SSD.

Ich hatte mir diese Video https://invidious.snopyta.org/watch?v=UXcvCbq428c angeschaut.
Bin deshalb darauf gekommen. Dort wurden Blocklisten installiert. Da hatte ich mich gefragt warum Blocklisten wenn die opnsene doch von sich aus schon blockt wenn keine Regel vorhanden ist.

108

German - Deutsch / Re: WAN Interface logs

« on: July 25, 2022, 09:21:11 am »

Da steht:

Disable writing log files to the local disk: Useful to avoid wearing out flash memory (if used). Remote logging can be used to save the logs instead if desired.

Wie und wie das jetzt gehandhabt wird erschliesst sich mir aber nicht. Nur das die SSD entlastet wird.

Wie ist eigentlich so die Empfehlung? Wird empfohlen das Logging auf WAN einzuschalten oder ist das gar nicht so wichtig ob ich da sehe das BOTS meine WAN IP scannen?

109

German - Deutsch / Re: WAN Interface logs

« on: July 24, 2022, 07:54:28 pm »

Vielen Dank :-)
Das habe ich irgendwie übersehen.

Wenn ich auswähle --> Deaktiviere das Schreiben von Protokolldateien auf die lokale Festplatte um die SSD etwas zu entlasten, wo speichert opensense den die Logs?
Gar nicht, nur im RAM? Und kann das irgendwo eingestellt werden?

110

German - Deutsch / WAN Interface logs

« on: July 24, 2022, 11:44:57 am »

Hallo,

mein opnsense funktioniert eigentlich so wie sie soll.
Nur eine Sache verstehe ich nicht. Ich kenne es z.B. von früher, der IPCop, da konnte ich immer in den LOG's
sehen wer so von aussen versucht meinen WAN IPzu scannen usw.

Hier in der OPNSense habe ich aber NULL logs, es wird anscheinend nichts mitgeloggt.
Das bots nicht meine WAN IP scannen glaube ich aber nicht.

Muss das logging auf deem WAN  noch extra aktiviert werden und ich habe nur den Punkt übersehen?

Vielen Dank

111

German - Deutsch / ntopng auf APU Borad mit AMD GX-412TC SOC (4 cores, 4 threads)

« on: July 10, 2022, 11:54:59 am »

Hallo,

hat jemand Erfahrung mit der Hardwareauslaustung von ntopng auf einem APU Board mit einem AMD GX-412TC SOC (4 cores, 4 threads) und 4 GB RAM?

Ich wollte mich mal mit dem Netzwerktraffic genauer befassen und schauen was im LAN und WAN so für Verbindungen stattfinden. Da bin ich auf ntopng gestossen.

Ich kann mir vorstellen das dass natürlich die Hardware etwas mehr beansprucht.

Die FW-Logs unter Originalansicht und Liveansicht finde ich unübersichtlich. Werde da nicht schlau.
Was ich auch nicht so ganz verstehe, es finden ja ständig irgendwelche PortScans usw auf meine opnsense statt, aber geloggt wird da nichts, nur ab und an eine bogon ip. Mein letzter LOG war im Juni und da wurde eine bogon IP geblockt, sonst taucht da nichts auf.

Ich kenne das von IPfire, da waren die LOGs immer prall gefüllt mit versuchten Portscans usw.

112

German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 03, 2022, 08:48:51 pm »

Vielen Dank für die ausführliche Erklärung :-)

Ich werde mich mit der Materie mal intensiver befassen, ist aber ein komplexes Thema, aber interessant.

Nochmals vielen Dank

113

German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 02, 2022, 07:59:22 pm »

Erst mal vielen Dank an alle für die Unterstützung und Erklärungen :-)

Ich bin leider noch nicht so tief in der Materie drin, mir ging es darum einen "unabhänigeren" DNS zu nehmen.
Da bin ich auf Digitalcourage gestossen...... zensurfreier DNS.

Das Prinzip DNS Resolver war mir so noch gar nicht bekannt.
Ich betreibe die opnsense "nur" aus Hobby und Interesse an der IT, ist ein kleines APU Board mit 250 MBits Anbindung.

Ich werde mich da mal reinlesen und mich informieren was die opnsense so noch alles kann.....
Mir ist z.B. auch noch nicht der Begriff Unbound DNS geläufig...... ungebunden ok, aber was ist da mit genau gemeint?
DigitalCourage ist Forwarder, das verstehe ich, diesen habe ich in der opnsense unter Dienste --> "DNS over "TLS" eingetragen.  Unter Dienste --> Unbound DNS --> Allgemein habe ich "Unbound DNS" aktiviert.

Was ist der Unterschied, zwischen aktivierten Unbound und deaktivierten Unbound?

Ich habe noch viel zu lernen.....

114

German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 02, 2022, 04:13:32 pm »

Weshalb sich überhaupt auf einen Upstream-Server verlassen? Auf der OPNsense selbst gibt es mehrere rekursive Server zur Auswahl, die alle ganz prima funktionieren: Unbound, BIND, AdGuard Home, ...

...der eine kauft Biorindersteak, der andere Schweinenacken zu 75 Cent das Kilo...

Mhhh.... ist dann der DNS von Digitalcourage jetzt das Biorindersteak oder das Billigdiscounter Fleisch?

Und ich nutze die opnsense ja privat, deshalb habe ich "nur" einen DNS eingetragen, wenn der mal ausfällt geht die Welt nicht unter, kann ja jederzeit wieder den vom Provider aktivieren.

115

German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 02, 2022, 04:09:39 pm »

Das Zertifikat von dns3.digitalcourage.de ist von heute morgen. Da hat das automatische erneuern scheinbar nicht geklappt.

Code: [Select]

srv1:~$ openssl s_client -connect dns3.digitalcourage.de:853 | openssl x509 -noout -dates
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = dns3.digitalcourage.de
verify return:1
notBefore=May  2 08:27:47 2022 GMT
notAfter=Jul 31 08:27:46 2022 GMT

KH

Es funktioniert jetzt auch wieder ohne mein Zutun.... das Zertifikat hat sich wohl erst jetzt erneuert.

Danke für die Erklärung :-)

116

German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 02, 2022, 11:28:15 am »

Ich habe "nur" den einen eingetragen, deshalb merke ich den Ausfall.

Die Fehlermeldung deute ich so --> Fehler des Zertifikats auf dem Server, die opnsense kann das Zertifikat nicht verifizieren.

Hier  https://forum.opnsense.org/index.php?topic=24996.msg119988#msg119988 wird von Let‘s Encrypt Zertifikaten auf der opnsense gesprochen.
Die Root CA dort austauschen.

Da steht auch was von einem Reboot, das werde ich als erstes heute abend dann mal testen.

Deshalb bin ich etwas irritiert.

117

German - Deutsch / ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

« on: May 02, 2022, 09:43:13 am »

Hallo,

ich verwende den Unbound DNS von Digitalcourage, dns3.digitalcourage.de
Heute klappt die DNS Auflösung nicht mehr.

Im Log taucht folgendes auf:

[76302:3] error: ssl handshake failed crypto error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Hat da jemand eine Idee woran es liegen könnte?
An meiner opnsense oder vielleicht am DNS Server selbst?

118

German - Deutsch / Re: Weboberfläche intern über WAN Ip erreichbar

« on: February 19, 2022, 03:13:16 pm »

Ich greife auf die WAN IP im lokalen Netz zu.
Also im internen Netz komme ich über die externe WAN IP vom Provider auf die Weboberfläche von der opnsense.

Ich habe es mal über das Smartphone per LTE ausprobiert, also nicht aus dem lokalen Nertz heraus, da komme ich nicht
auf die opnsense. Da kommt dann nach einiger Zeit im Browser eine Zeitüberschreitung.

Ich denke dann muss ich mir da keine Sorgen machen und alles ist richtig konfiguriert.

Vielen Dank für die Erklärung :-)

119

German - Deutsch / Weboberfläche intern über WAN Ip erreichbar

« on: February 19, 2022, 10:26:40 am »

Guten Tag,

ich habe nur eine kurze Frage.

Normalerweise rufe ich die Weboberfläche der opnsense über die interne IP oder über den DNS Namen auf.
Jetz ist mir aufgefallen das wenn ich im Broweser meine exteren WAN IP (also die IP vom Provider) eingebe ich auf die opnsense komme.

Ist das so richtig, oder habe ich da eine Fehlkonfiguration?
Weil ich will ja nicht das meine opnsense-Weboberfläche von aussen erreichbar ist.


Vielen Dank

120

German - Deutsch / Re: FritzBox 6591 Vodafone Cable Bridge Mode auf Port 2, kein Internet in OpnSense

« on: February 19, 2022, 10:13:25 am »

Diese Phänomen hatte ich leider auch mal gehabt.
Ich habe komischerweise auch mal 3 verschiedene IPs an der Vodafonestation bekommen als ich diese in den
BridgeMode gesetzt hatte.

Einmal eine 5.x.x.x, dann eine 80.x.x.x und dann die richtige mit 37.x.x.x

Die 80.x.x.x bekommt man eigentlich immer nur dann wenn die VodafoneStation als Router läuft.
Die 5.x.x.x das war irgendwie so ein Zwittermodus..... obwohl mir aber angezeigt worden war Station im Modemmodus.
z.B. konnte ich mit der 5.x.x.x.x IP auch einen Client an egal welchen Port vom Modem anschliessen und ich war online.
Das durfte eigentlich auch nicht sein. Normalerweise geht im Modemmodus nur Port 1. Die opnsense kam aber nicht online.

Mit der 37.x.x.x kommt ein Client nur an Port 1 des Modems online.
So klappt dann auch alles, auch die opnsense.

Obwohl mir die VodafoneStation angezeigt hatte sie wäre im BridgeMode, so war sie also es nicht wirklich.
Ich musste wirklich einige male das Modem neu durchstarten bis es endlich so war wie es sollte.

Das Problem liegt da meiner Meinung eindeutig bei Vodafone, nicht bei der opnsense.

Jetzt ändert sich meine IP auch schon seit Wochen nicht mehr.

Ist das bei Dir auch so?