Recent Posts

1

German - Deutsch / Re: Geignetes DAC Kabel für die OPNsense DEC3850 und UniFi Switches

« Last post by JeGr on Today at 05:04:34 pm »

Nope ich würde die Kabel von Unifi nehmen!

Warum? Switche sind normalerweise (aus der Erfahrung) IMMER wählerischer was ihre Kabel angeht als andere Hardware. Decisio ist kein "Hardware Hersteller". Sprich die Box ist eben auch irgendeine Plattform gebaut für Decisio mit bekannten Teilen und (wahrscheinlich?) Intel Xyyy NICs. Da gibts keine großen Anforderungen ans Kabel. Die USW Pro Switche laufen aber problemlos mit den Kabeln hier:

https://www.amazon.de/gp/product/B0734D424Z

Also den Unifi DAC UDC-1 (oder -2/-3 für längere Kabel). Davon gehen bei mir 2 auch in eine custom Hardware mit 10G NICs und die laufen sauber ohne Probleme (bei mir in einen USW-Pro-24-Gen2)

Da die Dinger jetzt je nach tagesform auch nicht soo sauteuer sind wenn man sie geschickt einkauft kommt man bei ~19-20€ pro Kabel unter. Das ist OK.

Alternativ bei fs.com mal nach Intel kompatiblen DACs schauen, Ubiquiti wird da explizit nicht aufgeführt, Intel kompat würde aber zumindest die Decisio Seite abdecken. Wie gesagt, da aber Ubiquiti explizit eigene DAC Kabel anbietet und das eher auf Switchseite klemmt, würde ich da eher nach denen schauen als nach der Decisio Hardware, die eher "von der Stange NICs" verbaut hat

2

General Discussion / Re: firewall allowing WAN to connect to Google DNS servers

« Last post by Inxsible on Today at 05:02:35 pm »

I think you are fighting the wrong war. Find the client(s) initiating the traffic and fix your DNS leak first...

Not sure if I have a DNS leak --- yet.

dnsleaktest extended test results show me only 1 DNS server -- which is the same IP as my VPN exit point -- on Chromium

dnsleaktest extended test results show me only 1 DNS server -- which is an IP of Cloudflare  -- on Firefox.

Not sure why I get different results in different browsers. The above was also happening in my pfSense install. It may be because I do have a Cloudflare DNS account that I use for DNS challenge for Caddy2 reverse proxy which maintains all my Let's encrypt certs for the various services on my network (nextcloud, bitwarden, guacamole etc...)

But why does Chromium show me the VPN address whereas Firefox shows me the Cloudflare IP, I have no idea !!

3

German - Deutsch / Re: OPNsense-VM vs. OPNsense-Appliance

« Last post by JeGr on Today at 05:00:49 pm »

> Da man einen VM Host eh außerhalb der wirklichen Nutzungszeit neustartet sollte das kein Problem geben
> Wenn alle Server etc. Aus sind braucht es dir Firewall gerade auch nicht

Gerade das ist das Killerargument schlechthin gegen VMs.
Wenn der Hypervisor down geht ist Schicht im Schacht. Dann geht auch KEIN Internet mehr wo man mal kurz nachschauen, was runterladen, patchen etc. könnte. Das hat man einfach viel zu wenig auf dem Schirm.

Wenn das alles kein Thema ist - warum nicht. Kann man auch virtuell fahren. Aber beim ganzen VM Thema wird gerne vergessen, dass es auch den Problemfall gibt. Wichtiger HV Patch for ESX, Proxmox, Hyper-V, whatever. Oder in Business Umgebungen wo noch weitere VMs auf dem gleichen Host/Cluster laufen sind Spectre und Co. eben auch valide Angriffsvektoren. Dann ist es vielleicht eher suboptimal auf der gleichen Hardware auch die Firewall laufen zu haben. Sollte man dann auf dem Schirm und im Hinterkopf haben. Und wenn dann mal wieder ein Hotfix der Virtualisierung den Cluster oder die VM killt und man dann keinen Plan B hat, um wieder Netz zu bekommen - tjoa da standen schon der ein oder andere Kunde da und meinte "und jetzt? Aber virtualisieren war doch so günstig"

Und nö ich bin nicht komplett dagegen - aktuell bin ich in der Vorbereitung auf meiner Hardware auch 2-3 Instanzen von Sensen laufen zu lassen. Wegen HA und Updates und ggf. auch Tests etc. und ich damit die HW eben besser ausnutzen kann. Aber da läuft dann nur Firewalls und ggf. noch eine kleine Monitoring Instanz auf der HW und sonst nichts. Das ist dann völlig OK und der Plan B liegt in Form von der alten Hardware im Schrank für den Fall dass der HV mal die Grätsche macht

4

General Discussion / Re: firewall allowing WAN to connect to Google DNS servers

« Last post by chemlud on Today at 04:50:06 pm »

I think you are fighting the wrong war. Find the client(s) initiating the traffic and fix your DNS leak first...

I have a similar issue and looking at the log, I can see the source address is the WAN IP, I don't see how to identify the IP address of the client... 

Package capture on LAN interface(s). Find out who is contacting 8.8.8.8. But if you block all traffic with target port 53 (except to LAN address of the OPNsense) and use Unbound properly configured you should not see see anything leaving WAN to target port 53.

5

German - Deutsch / Re: OPNsense-VM vs. OPNsense-Appliance

« Last post by kosta on Today at 04:35:14 pm »

Bin nicht so Freund davon. Über Nacht laufen Syncs der wichtigen Daten auf die Cloud-Dienste und netzinterne Backups (natürlich jetzt von der FW nicht direkt betroffen). Natürlich kann man jetzt sagen planen lässt sich alles, Neustart am Samstag, keine Cloud-Kopie, wie auch immer. Timen lässt sich alles, immerhin wiege ich die Vorteile der Hardware eher überwiegend. Die Vorteile der VM-Lösung sind für mich eher mager.

6

German - Deutsch / Re: OPNsense-VM vs. OPNsense-Appliance

« Last post by lfirewall1243 on Today at 04:31:07 pm »

Ich stand vor paar Jahren vor der Entscheidung, und hab mich damals für einen selbstgebauten kleinPC entschieden. Appliance hat noch was drauf in dem sie genau für das eine gebaut ist. Wodurch sie sicher verlässlicher ist.
Grund für den PC war für mich die Flexibilität, da ich damals Sophos drauf hatte, jetzt OPNsense.
Genauso wie der Server, rennt dieser PC 24/7, und schon seit Jahren ohne wirklichen Macken (einmal ginge der CPU-Lüfter ein, ist mir aber nicht mal aufgefallen, erst dann wo ich mal alles entstaubt habe).
Ich denke die Appliance wird da noch um ein Stück besser sein.
Gegen VM habe ich mich wegen Verlässlichkeit entschieden. Den Server startet man schnell neu, wenn irgendwelche Updates bevorstehen (schlimm wenn Hyper-V, weniger schlimm bei VMware, was ich aktuell habe).
In IT jetzt fast 15 Jahre, ich tät eine Firewall immer auf eine Appliance oder Hardware stellen.
In einer Test-Umgebung, klar VM, aber Produktiv, zu Hause, Hardware.
Stell dir mal so vor: in einer VM ist die FireWALL in einer Umgebung, egal wie logisch getrennt. Auf einer Appliance ist die FireWALL wirklich eine "Wand" zwischen WAN und LAN ;-)

Nunja
Da man einen VM Host eh außerhalb der wirklichen Nutzungszeit neustartet sollte das kein Problem geben

Wenn alle Server etc. Aus sind braucht es dir Firewall gerade auch nicht

7

General Discussion / Re: firewall allowing WAN to connect to Google DNS servers

« Last post by marjohn56 on Today at 04:30:58 pm »

Try putting this in your custom options for unbound, think that's all I did, see very few google addresses in my logs.

ssl-upstream: yes
forward-zone:
name: "."
forward-addr: 9.9.9.9@853 #Quad9 ip4
forward-addr: 149.112.112.112@853 #Quad9 ip4
forward-addr: 2620:fe::fe@853 #Quad9 ip6
forward-addr: 1.1.1.1@853 #Cloudflare ip4
forward-addr: 1.0.0.1@853 #Cloudflare ip4
forward-addr: 2606:4700:4700::1111@853 #Cloudflare ip6
forward-addr: 2606:4700:4700::1001@853 #Cloudflare ip6


You should only see WoodyNet, Cloudflare and your own IP then in a DNS leak test. Of course, if you want total privacy, use a VPN. Of course this will not stop pesky devices like Chromecast from using 8.8.8.8, but it's on my IOT VLAN anyway, so who cares.

8

German - Deutsch / Re: OPNsense-VM vs. OPNsense-Appliance

« Last post by kosta on Today at 04:28:58 pm »

Ich stand vor paar Jahren vor der Entscheidung, und hab mich damals für einen selbstgebauten kleinPC entschieden. Appliance hat noch was drauf in dem sie genau für das eine gebaut ist. Wodurch sie sicher verlässlicher ist.
Grund für den PC war für mich die Flexibilität, da ich damals Sophos drauf hatte, jetzt OPNsense.
Genauso wie der Server, rennt dieser PC 24/7, und schon seit Jahren ohne wirklichen Macken (einmal ginge der CPU-Lüfter ein, ist mir aber nicht mal aufgefallen, erst dann wo ich mal alles entstaubt habe).
Ich denke die Appliance wird da noch um ein Stück besser sein.
Gegen VM habe ich mich wegen Verlässlichkeit entschieden. Den Server muss man schnell mal neustarten, wenn irgendwelche Updates, Systemänderungen bevorstehen (schlimm wenn Hyper-V, weniger schlimm bei VMware, was ich aktuell habe). Im Vergleich startet man eine Firewall so gut wie nie neu.
In IT jetzt fast 15 Jahre, ich tät eine Firewall immer auf eine Appliance oder Hardware stellen.
In einer Test-Umgebung, klar VM, aber Produktiv, zu Hause, Hardware.
Stell dir mal so vor: in einer VM ist die FireWALL in einer Umgebung, egal wie logisch getrennt. Auf einer Appliance ist die FireWALL wirklich eine "Wand" zwischen WAN und LAN ;-).

9

21.1 Production Series / Re: Traffic graph on dashboard broken

« Last post by tswalker on Today at 04:09:12 pm »

would be nice to have graph options from histogram, stacked, area and deviation styles...

10

German - Deutsch / Re: OPNsense-VM vs. OPNsense-Appliance

« Last post by lfirewall1243 on Today at 03:58:32 pm »

Also klar ist Bare Metal sicherer als eine VM, da du mögliche Sicherheitslücken in der Virtualisierungsumgebung umgehst.
Außerdem hast du die Ressourcen nur für die OPNsense. Falls deine VMs falsch konfiguriert sind und sich eine die ganzen Resource zieht leidet deine OPNsense darunter, bei dedizierter Hardware eben nicht.
Außerdem ist man mit den Anschlüssen wesentlich flexibler, Mal eben neues Kabel dran für eine dmz o.ä. ist bei einer VM etwas schwieriger.

Dennoch hat man bei der VM die Möglichkeit snapshots vor den config Änderungen oder Updates zu machen (bisher alles gut gegangen dennoch schön wenn es geht).