Messages

76

German - Deutsch / Torrent Download Standardmäßig nicht möglich über opnsense? os-upnp?

« on: October 02, 2022, 09:25:31 pm »

Hallo,

ich habe eine Frage zu Torrent Downloads.
In meinem interne LAN habe ich an der WLAN Schnittstelle von der opnsense einen AccessPoint mit openwrt angeschlossen.
Auf diesem AccessPoint habe ich aria2 (Downloadmanager) installiert.

Klassische Downloads funktionieren ohne das ich extra in opnsense was in der Firewall freigeben musste.
Bittorrent klappt aber nicht, es kommt keine Verbindung zu stande, z.B. beim Torrent von LinuxMint.

Muss ich damit Bittorrent funktionieren kann (weil ja auch eine ausgehende Verbindung aufgebaut werden muss) das Plugin os-upnp installieren? Hatte das im englischen Forum mal gelesen aber nicht ganz verstanden. Wenn ja, reicht das dann aus ohne das ich Ports extra in der Firewall öffnen muss?  Und was macht da os-upnp, wofür wird das gebraucht?

Ist das dann eigentlich ein "Sicherheitsrisiko" weil ja die Firewall Ports öffnen muss?

77

German - Deutsch / Re: Gast WLAN auf AccessPoint einrichten

« on: September 21, 2022, 07:20:37 pm »

Ich werde das mal am Wochende in Ruhe angehen.

Vielen Dank schon mal :-)

78

German - Deutsch / Re: Gast WLAN auf AccessPoint einrichten

« on: September 20, 2022, 07:57:06 pm »

Ich weiss das ist jetzt kein opnsese Ding, aber ich frage trotzdem.

Bei Punkt 2: In openwrt bei Neues „Gast-Interface“ bearbeiten, da gibt es dann ja noch den Punkt "Device".
Trage ich da dann nichts ein oder trage ich da das vorher erstellte "wireless Network" ein?
Gateway lasse ich auch weg weil ich später in der Firewall unter Punkt 4 den Haken bei Masquerading mache?

Ohne Gateway bekomme ich ja kein DNS von der opnsense.

79

German - Deutsch / Re: Gast WLAN auf AccessPoint einrichten

« on: September 20, 2022, 10:51:07 am »

ich habe es mal mit dem vlan versucht, aber dann haben meine clients keine IP mehr von der opnsense bekommmen.

@mueller
Dein AP, hat der auch nur einen LAN-Schnittstelle?
Die WAN-Schnittstelle auf meinem AP verstehe ich sowieso nicht, weil ich habe die ja eigentlich gar nicht, weil nur
ein LAN was mit der opnsense verbunden ist.

Bei Deiner Lösung ist es so das auf dem AP dann die Firewall und er DHCP aktiv ist, die opnsense also quasi
damit gar nichts zu tun hat?

Wenn das so klappt finde ich die Lösung gut, weil dann ist es ja auch möglich den Clients den Zugriff auf das LuCI interface z.B. zu verbieten. Über die opnsense geht das ja so nicht, weil die ja hinter dem AP hängt.

Aktuell habe ich auf dem AP die Firewall, DNS und DHCP ausgeschaltet.

Ich werde das mal über Deinen Lösungsweg versuchen.

Gibt es da denn Vor oder Nachteile, z.B. wenn man es über ein vlan über die opnsense macht oder wenn man den Weg wie hier beschrieben wählt?

80

German - Deutsch / Re: Gast WLAN auf AccessPoint einrichten

« on: September 19, 2022, 11:57:02 am »

Vielen Dank.

Mein vorhaben wird dann über vlans realisierbar sein, vorrausgesetzt der openwrt AP kann mit vlans umgehen.
Wenn dem so ist, sollte das wie im verlinkten Video möglich sein.

Also ein vlan auf der opnsene auf dem LAN Interface erstellen und dann das entsprechende Gegenstück auf dem openwrt.

Die Berechtigungen was dann im neuen Gastwlan erlaubt ist erfolgt dann über die Firwall der opnsense.
Auf dem openwrt lass ich die Firewall deaktiviert.

Ich werde mich da mal entsprechend einlesen.

Thanks

81

German - Deutsch / Gast WLAN auf AccessPoint einrichten

« on: September 18, 2022, 12:41:07 pm »

Hallo,

ich bin Einsteiger was opnsense und Netzwerke angeht.
Aber ich interessiere mich allgemein für IT Sicherheit und möchte aus Interesse ein GAST-WLAN einrichten um einen Saugroboter aus China etwas besser unter Kontrolle zu haben. Ich will das Gerät nicht in meinem allgemeinem WLAN haben.

Ich habe einen 10 Jahre alten AccessPoint aus dem "Müll" gerettet und mit openwrt wieder neues Leben gegeben.

Meinen Netzwerkplan habe ich im Anhang hochgeladen.
Es ist eigentlich eine einfache Struktur, ein Vodafone Kabelanschluss mit der VodafoneStation im Bridge-Modus, daran
per DHCP die opnsense die insgesamt 3 LAN Schnittstellen hat. Eine WAN, die an der Vodafone Station hängt, eine die als LAN fungiert und eine die als WLAN fungiert.

An der WLAN Schnittstelle ist eine AccessPoint Aerohive121 mit openwrt angeschlossen. Der Aerohive121 ist ein reiner AccessPoint und hat nur 1 LAN Schnittstelle.

Hier ist das Gerät verlinkt: https://openwrt.org/toh/aerohive/ap121

Jetzt gibt es Anleitungen bei openwrt wie man ein Gast WLAN einrichtet, aber das bezieht sich eigentlich immer auf Router mit mehreren Netzwerkschnittstellen. Dort werden dann vlans erstellt usw. Den Eintrag SWITCH z.B. habe ich auch gar nicht in openwrt bei mir.

So wie ich das in dem Link vom Gerät sehe, beherscht der Aerohive121 keine vlans. Bei vlan steht da ein umgedrehtes Fragezeichen.

Es gibt auch Anleitungen wie man das ohne vlan hinbekommen kann, jedoch ist da dann immer eine WAN-Schnittstelle im Spiel. Diese habe ich ja eigentlich auch nicht. Auch habe ich die Firewall, DNS und DHCP auf dem Aerohive121 abgeschaltet weil ich ja die opnsense habe. Die macht DHCP, DNS und Firewall auf dem WLAN Interface.

Das mit der fehlenden WAN Schnittstelle beschreibt auch jemand im openwrt Forum so: https://forum.openwrt.org/t/archer-c7-v5-0-access-point-with-separate-guest-wifi/137061/4

Code: [Select]

That's a problem because you cannot differentiate lan/wan by firewall zone since your Internet connection is provided by lan, not wan.

I do the guest routing on the main router in the basement (which does not have WiFi at all) and use tagged VLANs to have both zones, i.e. lan and guest, available at the AP. My APs only have one single Ethernet connection. Is this similar to your setup?
Meine Frage:

Ist es möglich auf der opnsense ein vlan zu erstellen, welches ich z.B. dann eine IP 192.168.3.1 gebe um dann auf dem Accesspoint an der einen LAN-Schnittstelle die ja aktuell 192.168.2.2 hat noch zusätzlich die IP 192.168.3.2 habe um ein Gast WLAN zu erstellen? Oder muss der Aerohive121 dafür vlan Fähigkeiten haben.

Ich frage das weil mir vlans noch überhaupt nicht vertraut sind.
Auch finde ich diesen Lösungsansatz schöner, weil der Aerohive121 soll eigentlich nur ein "dummer" AccesPoint bleiben, ohne extra Firewall, DHCP usw. Weil dann müsste ich 2 Firewalls verwalten.

Vielen Dank

82

German - Deutsch / Re: Spamhaus DROP eDrop Liste auf WAN Interface. Warum?

« on: August 30, 2022, 05:34:54 pm »

Der Nebel hat sich jetzt hoffentlich verzogen

Nochmals vielen Dank für die Erklärung

83

German - Deutsch / Re: Spamhaus DROP eDrop Liste auf WAN Interface. Warum?

« on: August 30, 2022, 05:21:25 pm »

Ich habe es als FLOATING gemacht für das Ingterface LAN und WALN.

Bei firehol1 hatte ich mich schon mal selber blockiert, weil da ist mein LAN (192.168.0.1) auf der Liste.
Die verwende ich jetzt erst mal nicht.

So habe ich das jetzt auf floating eingestellt für die Interface LAN und WLAN

Vielen Dank :-)

Ich glaube es ist mir jetzt etwas klarer geworden.
Mich haben die Screenshots in der Doku und auch die Videoanleitungen irritiert, weil dort war auf WAN nie was nach aussen geöffnet gewesen.

84

German - Deutsch / Re: Spamhaus DROP eDrop Liste auf WAN Interface. Warum?

« on: August 30, 2022, 05:02:57 pm »

Laut den Screenshots ist in der OPNSense Doku z.B. kein Port auf dem WAN Interface nach aussen geöffnet.
Aber trotzdem werden diese Regeln auf WAN angelegt. Das verwirrt mich.

Also wenn ich auf dem WAN Interface Ports öffnen, dann macht so eine Blockregel auf WAN Sinn.
Das verstehe ich auch.

Das die Clients im LAN keine ausgehende Verbindung zu den IPs auf den Blocklisten aufbauen dürfen, das verstehe ich auch. Also ein Destination auf LAN.

Aber was ist mit den eingehenden Verbindungen auf dem LAN? Sollte so eine Regel auch auf dem LAN vorhanden sein?
Ich habe aktuell eine floating Regel für die Interface LAN und WLAN eingestellt. Auf WAN habe ich nichts erstellt weil ich nach aussen nichts geöffnet habe. siehe Screenshot.

Ist dieses so ok, und kann ich das dann für die beiden Spamhaus-Listen genauso machen?

85

German - Deutsch / Spamhaus DROP eDrop Liste auf WAN Interface. Warum?

« on: August 30, 2022, 04:43:18 pm »

Sorry, das ich noch mal Nachfragen muss, aber ich verstehe das leider immer noch nicht.

Es gibt Blocklisten z.B. von Spamhaus.org.

In der OPNSENSE-Doku wird erklärt wie man diese einrichtet:

https://docs.opnsense.org/manual/how-tos/edrop.html?highlight=spamhaus

Soweit verstehe ich das auch, aber nur eines verstehe ich da einfach nicht.
Es sollen Eingehende Vertbindungen auf dem WAN Interface geblockt werden und deshalb wird eine Regel dafür auf WAN erstellt.

Warum ist diese Regel auf WAN überhaupt nötig?
WAN blockt doch von Hause aus eh schon alles, oder etwa nicht?
Das verstehe ioch einfach nicht.

Diese Regel verstehe ich einfach nicht. Und überall wo ich lese oder videos darüber schaue, jeder legt diese Regel auf WAN an.

86

German - Deutsch / Re: Aussperrung opnsense Weboberfläche möglich?

« on: August 24, 2022, 09:42:55 am »

Vielen Dank :-)

Jetzt verstehe ich das Prinzip.
Dann habe ich es auch so richtig eingestellt auf den beiden Interfaces LAN und WLAN.

Firewall und Sicherheit ist schon ein hochkomplexes Thema wie ich finde.
Aber auch sehr interessant.
Ich versuche mich da mehr einzuarbeiten und einzulesen.

87

German - Deutsch / Re: Aussperrung opnsense Weboberfläche möglich?

« on: August 24, 2022, 08:25:05 am »

Nur wozu gibt es dann den Punkt OUT und any dort noch?

Ich muss noch mal zum Verständnis nachfragen:

Ich habe ja eine Liste als Alias eintragen, gegen malware.

Eine FW Regel habe ich so eingestellt das meine Clients nicht auf diese IPs auf der Liste zugreifen dürfen, also eine ausgehende Regel. Das ist mir auch logisch.

Dann habe ich aber auch noch eine eingehenede Regel anhand dieser Liste erstellt fürs LAN und WLAN.
War in der Anleitung auch so.

Nur jetzt verstehe ich das ja so, wenn dann kommt die Verbindung von "aussen" aus dem Internet und muss erst mal durch das WAN Interface der opnsense um dann ins LAN zu gelangen.
Das WAN Interface blockt eh standardmäßig die Verbindungen.

Also ist die eingehende Regel auf meinem LAN Interface doch nutzlos, oder?
Wenn dann auf dem WAN Interface? Aber da wird sowas ja standardmäßig schon eh geblockt?

88

German - Deutsch / Re: Aussperrung opnsense Weboberfläche möglich?

« on: August 23, 2022, 10:29:50 pm »

Ich muss mich da mal intensiver einlesen. Dann kapier ich das hoffentlich auch :-)

Ich habe mir jetzt eine Liste gegen malware als Alias eingerichtet:
https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_webclient.netset

und bin nach dieser Anleitung vorgegangen:
https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/

Habe eine floating Regel erstellt, für LAN und WLAN.
Einmal dann für eingehend und eine für ausgehend.

Bei ausgehend bin ich mir aber etwas unsicher. In der Anleitung wird geschrieben, die Liste nicht bei Source eintragen,
sondern bei Destination.
Ich hätte bei  Direction einfach von IN auf OUT gestellt.

Wäre das verkehrt geswesen?
Weil meine Clients (von innen aus dem LAN/WLAN) dürfen ja nicht auf die IP's in der Liste von aussen zugreifen.

89

German - Deutsch / Re: Aussperrung opnsense Weboberfläche möglich?

« on: August 23, 2022, 09:37:26 pm »

Ich verstehe das Prinzip dahinter noch nicht.

z.B. bei der Level1 Liste.

Ich habe gesehen, ja da ist mein Privater IP Bereich drin. Deshalb wird das gesperrt. Logisch für mich.
Aber warum sollte man überhaupt Private IPs sperren. Wo ist da der Sinn drin?
So sperre ich mich ja nur selber aus.

Mein Englisch reicht da wohl leider nicht ganz aus.
Was sind denn genau die Unterschiede zwischen den Level 1 bis 4? Ich verstehe das auf der Seite leider nicht.

90

German - Deutsch / Re: Aussperrung opnsense Weboberfläche möglich?

« on: August 23, 2022, 06:51:12 pm »

Ich muss noch mal blöd nachfragen.

Ich habe jetzt einen Alias erstellt als TYP URL Table (IP) und dann https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level1.netset als CONTENT eingetragen.

Eine Block-Regel auf WLAN  und LAN erstellt wo ich diesen Alias dann verwende.

Durch diese Regel wird mir aber dann auch der DNS geblockt, folglich klappt mein Internet dann nicht mehr.
Das verstehe ich jettzt überhaupt nicht.

Wo habe ich da den Denkfehler?

Das steht dann im LOG drin:

WLAN   192.168.2.2   192.168.2.1   53

Also der AccessPoint (192.168.2.2) wird auf Port 53 (DNS) auf dem WLAN Interface  (192.168.2.1) der opnsense geblockt.

Verstehe ich nicht, weil das steht ja gar nicht in der firehol Liste drin!!!