Messages

76

German - Deutsch / Re: Subnetze mit einander verbinden - Verständnisfrage

« on: September 18, 2022, 08:22:01 pm »

Vor allem, das Gemisch aus NAT von LAN und WAN und OPT1 und WAN + Routing zwischen den Subnetzen habe ich nicht hinbekommen und auch kein wirklich gutes Tut gefunden.

77

German - Deutsch / Re: Subnetze mit einander verbinden - Verständnisfrage

« on: September 18, 2022, 08:16:58 pm »

Da wird aber nichts "verknüpft" sondern geroutet, was jede Firewall macht. Wenn das bei Dir nicht recht funktioniert, dann weil deine Regeln einfach unvollständig sind.

Ach so, daran liegt das also, an meinen Regeln. NAT = Routing?

Verknüpft ist auch falsch, da hast du recht, Routing ist hier der richtige Begriff.

Ich denke aber nicht, dass ich es falsch konfiguriert habe, hatte hier im Forum recherchiert und eine besonders einheitliche Lösung habe ich hier leider nicht gefunden?

78

German - Deutsch / Re: Subnetze mit einander verbinden - Verständnisfrage

« on: September 18, 2022, 08:03:18 pm »

was ist der beste Weg, zwei oder drei verschiedene Subnetze miteinander zu verknüpfen?

Warum sollte man so was wollen??

Warum sollte man so etwas nicht wollen? Zb.: bei größeren Netzwerken, bei denen 3 Subnetze auf gleiche Ressourcen wie NAS Zugriff haben sollen. DMZ wäre wieder etwas anderes oder Teilnetze von verschiedenen Abteilungen, die keine gemeinsamen Ressourcen teilen.

79

German - Deutsch / Subnetze mit einander verbinden - Verständnisfrage

« on: September 18, 2022, 07:38:44 pm »

Moin,

was ich fragen wollte ist, was ist der beste Weg, zwei oder drei verschiedene Subnetze miteinander zu verknüpfen routen?

Ich hatte letztens versucht, LAN und OPT1 über Opnsesnse zusammenzubringen, allerdings lief das nicht ganz so reibungsfrei, wie ich es gerne gehabt hätte. Die Schnittstellen LAN und OPT1 habe ich dabei direkt auf einen L2 Switch ohne VLAN gegeben und mit 192.168.0 und 192.168.1 für die jeweiligen Netze konfiguriert.

Dann noch jeweils eine FW Regel für LAN und OPT1, welche den eingehenden Traffic  ins jeweilige Netz erlaubt, von einer beliebigen Quelle. Letzten Endes  konnte ich von LAN auf OPT1 zu greifen, andersherum gab es teilweise Probleme, das zB. manche Hosts nicht gefunden wurden usw... Auch mit asynchronen TCP Verbindungen gab es Schwierigkeiten, so musste Statustyp auf sloppy-status gesetzt werden.

War auch nur testweise und keine dauerhafte Konfiguration. Nun meine eigentliche Frage ist, gibt es dafür einen eleganteren Weg, separate Router-Hardware oder L3 Switche vielleicht?

Wie würdet Ihr das professionell lösen, wenn mehrere Subnetze miteinander verbunden werden sollen, damit eine reibungsfreie Kommunikation zwischen den Netzen in beiden Richtungen funktioniert?

80

German - Deutsch / Re: Unbound Host Override funktioniert nicht mehr

« on: September 14, 2022, 10:55:57 pm »

Dank diesem Thread konnte das Problem gelöst werden: https://forum.opnsense.org/index.php?topic=30167.msg145954#msg145954

Lösung:

In case anyone else wants to try:

Code: [Select]

sudo vi /usr/local/etc/inc/plugins.inc.d/unbound.inc

Go to line 573, add "!" between first two parentheses

Code: [Select]

573                  if (!($alias...
I ran the unbound-control I mention above, both before and after, diffing the two results and saw all the PTR records for host entries as I expected, and none for the aliases.

81

German - Deutsch / Re: Unbound Host Override funktioniert nicht mehr

« on: September 14, 2022, 01:38:39 am »

Moin,

hab keine reverse Zonen in der Sense, aber im Proxmox Mailgateway das selbe, das die nicht wollten.

Erst als ich unter

hinzugefügt hatte funktionierte es.
War aber wie gesagt NICHT opnsense sondern PMG mit unbound.
Evtl. mal unter advanced testen.

Du hast vermutlich recht, ich habe nun mal geschaut, ob ich das mit der Konsole hinbekomme, allerdings bin ich mir nicht sicher, ob ich dabei die richtige Datei editiert habe?

/usr/local/etc/unbound/unbound.conf

Dort habe ich das eingetragen:

Code: [Select]

server:
     unblock-lan-zones: yes
     domain-insecure: "0.168.192.in-addr.arpa"
Unbound neu gestartet, leider kein Erfolg.

Hätte vielleicht noch jemand eine Idee?

82

German - Deutsch / Re: Unbound Host Override funktioniert nicht mehr

« on: September 12, 2022, 03:37:07 pm »

Nach einem Neustart der Sense, hat sich das Problem jetzt umgekehrt, jetzt kann ich die IP nach Hostname auflösen, aber nicht mehr andersherum.

83

German - Deutsch / Re: Unbound Host Override funktioniert nicht mehr

« on: September 12, 2022, 03:31:58 pm »

Moin,

hab keine reverse Zonen in der Sense, aber im Proxmox Mailgateway das selbe, das die nicht wollten.

Erst als ich unter
server:
     unblock-lan-zones: yes
     domain-insecure: "0.168.192.in-addr.arpa"

hinzugefügt hatte funktionierte es.
War aber wie gesagt NICHT opnsense sondern PMG mit unbound.
Evtl. mal unter advanced testen.

Danke, allerdings habe ich bei Unbound keine Zonen Einstellungs Möglichkeiten.

Seltsames Verhalten von Unbound. Meine Vermutung liegt beim letzten Update, seit dem spackt es mit der DNS Auflösung?

84

German - Deutsch / [solved] Unbound Host Override funktioniert nicht mehr

« on: September 11, 2022, 11:57:47 pm »

Moin,

nach dem letzten größeren Update habe ich festgestellt, dass ich die internen Hostnames nicht mehr nach ihrer IP auflösen kann, was vorher aber ohne Probleme funktioniert hat.

ZB.: nslookup 192.168.0.16 liefert "*** 192.168.0.16 wurde von opnsense.xyz nicht gefunden: Non-existent domain."

Andersherum können die IP-Adressen nach Hostnames aufgelöst werden. Für die Hosts welche über DHCP ihre IP Konfiguration erhalten, funktionieren so weit ich das sehe, beide Richtungen.

An den Einstellungen habe ich nichts geändert. Hat sich da bei Unbound etwas verändert, die Einstellungen sehen immer noch gleich aus?

Vielleicht weiß hier jemand mehr, eine schnelle Suche hat mich jedenfalls nicht weiter gebracht.

Edit:

Aus der Protokoll Datei werde ich auch nicht schlau:

[66018:0] info: 192.168.0.34 16.0.168.192.in-addr.arpa. PTR IN

85

German - Deutsch / Re: Upgrade auf Version 22.7

« on: July 30, 2022, 10:36:41 pm »

Let's answer this in German... vorher oder hinterher: egal

86

German - Deutsch / Re: Upgrade auf Version 22.7

« on: July 30, 2022, 07:41:28 pm »

Kann man das Upgrade dann schon bedenkenlos fahren oder muss das noch manuell entfernt werden?

87

German - Deutsch / Re: OpnSense mit pi-hole als DNS Filter

« on: July 23, 2022, 07:02:40 pm »

Hey,

danke vielmals für deine Rückmeldung, freut mich das du es hinbekommen hast. Eine Frage nur, funktioniert diese Konfiguration dann auch, wenn im System selbst keine DNS-Server hinterlegt sind?

Deswegen hat vermutlich auch die direkte Weiterleitung bei mir nicht geklappt, weil bei mir die DNS Anfragen direkt auf die Sense selber umgeleitet werden.

Grüße

88

German - Deutsch / Re: Hardware für 10G LAN mit IDS/IPS

« on: July 07, 2022, 08:55:16 pm »

Hi,

also bei mir läuft Opnsense auf einem 4 Kern Xeon mit 3.4 GHz pro Kern und 32 GB RAM, mit 1 GBit Ethernet pro Netzwerk. Bei mir läuft sowohl Suricata als auch Zenamor.

Ich bin mir jetzt nicht absolut sicher, wie aussagekräftig mein Test, siehe weiter unten, mit Iperf3 ist, aber es sieht damit zumindest schon mal nicht schlecht aus.

Ob Iperf das geeignete Mittel ist, um den IPS/IDS Durchsatz zu messen, würde mich an der Stelle auch ein mal interessieren.

Für 10 oder 20 GBit wäre wohl noch mehr Leitung pro Kern sinnvoll, meiner subjektiven Einschätzung, aber vielleicht ist hier noch jemand, der damit bereits Erfahrung gemacht hat?

Code: [Select]

-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.1.1, port 48810
[  5] local 192.168.1.6 port 5201 connected to 192.168.1.1 port 10700
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  99.0 MBytes  101406 KBytes/sec
[  5]   1.00-2.00   sec   112 MBytes  114400 KBytes/sec
[  5]   2.00-3.00   sec   112 MBytes  114344 KBytes/sec
[  5]   3.00-4.00   sec   112 MBytes  114715 KBytes/sec
[  5]   4.00-5.00   sec   112 MBytes  114563 KBytes/sec
[  5]   5.00-6.00   sec   112 MBytes  114206 KBytes/sec
[  5]   6.00-7.00   sec   112 MBytes  114895 KBytes/sec
[  5]   7.00-8.00   sec   112 MBytes  114927 KBytes/sec
[  5]   8.00-9.00   sec   112 MBytes  114265 KBytes/sec
[  5]   9.00-10.00  sec   111 MBytes  113523 KBytes/sec
[  5]  10.00-10.11  sec  12.0 MBytes  112996 KBytes/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.11  sec  1.09 GBytes  113123 KBytes/sec                  receiver
-----------------------------------------------------------


Code: [Select]

Connecting to host 192.168.1.6, port 5201
[  5] local 192.168.0.4 port 50328 connected to 192.168.1.6 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   113 MBytes  115497 KBytes/sec    0   3.01 MBytes     
[  5]   1.00-2.00   sec   112 MBytes  114452 KBytes/sec    0   3.01 MBytes     
[  5]   2.00-3.00   sec   112 MBytes  114258 KBytes/sec    4    818 KBytes     
[  5]   3.00-4.00   sec   112 MBytes  114776 KBytes/sec    1    634 KBytes     
[  5]   4.00-5.00   sec   112 MBytes  114441 KBytes/sec   11    210 KBytes     
[  5]   5.00-6.00   sec   112 MBytes  114202 KBytes/sec    5    289 KBytes     
[  5]   6.00-7.00   sec   112 MBytes  115009 KBytes/sec    0    573 KBytes     
[  5]   7.00-8.00   sec   112 MBytes  114964 KBytes/sec    0    708 KBytes     
[  5]   8.00-9.00   sec   111 MBytes  114109 KBytes/sec    1    545 KBytes     
[  5]   9.00-10.00  sec   111 MBytes  113496 KBytes/sec   10    104 KBytes     
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.09 GBytes  114521 KBytes/sec   32             sender
[  5]   0.00-10.11  sec  1.09 GBytes  113123 KBytes/sec                  receive

89

German - Deutsch / Re: OpnSense mit pi-hole als DNS Filter

« on: July 01, 2022, 12:58:39 am »

Habe jetzt nicht komplett gelesen, wenig Zeit aber Evtl. hilft Dir das hier weiter:

https://forum.opnsense.org/index.php?topic=9245.0

Hast du Unbound eingerichtet und in System -> Allgemein die Pi-Holes eingetragen?

90

German - Deutsch / Re: OpnSense mit pi-hole als DNS Filter

« on: July 01, 2022, 12:49:59 am »

Habe jetzt nicht komplett gelesen, wenig Zeit aber Evtl. hilft Dir das hier weiter:

https://forum.opnsense.org/index.php?topic=9245.0