Recent posts

#1
General Discussion / Roku DNS storm is impacting OP...
Last post by OPNenthu - Today at 11:44:12 AM
I'm seeing this exact issue: https://github.com/FreshTomato-Project/freshtomato-arm/issues/268

My parents have a Roku box that just started flooding DNS to its telemetry endpoints which are blocked by DNSBL policy.  I'm seeing millions of requests in the reporting period (I think OPNsense keeps last 24 hrs).  The only issue is that it's causing log buildup which is overwhelming the system.  Memory use went from ~20% (baseline) to over 60%, mostly due to Unbound's logger (attached).  The Unbound reporting is taking half a minute to load.  Also seeing slowdowns in the live view and Firewall widget loading.

You cannot view this attachment.

What I did remotely was to force the WiFi client to reconnect via the UniFi console.  Unfortunately it immediately started spamming DNS again once it reconnected.  For the moment I've blocked the device from internet access.

The recommendation in the GH link is to redirect the telemetry endpoint to some blackhole IP instead of 0.0.0.0.  I think that could end up being a maintenance issue if the hostnames change, so I'm wondering if I can instead rate limit the DNS requests just from this device?  A quick forum search seems to indicate there's no way to do that, but I'm not sure.  Appreciate tips on how to best proceed (short of throwing the Roku in the trash).
#2
Nein.
#3
General Discussion / Re: Crowdsec Observations
Last post by sopex - Today at 11:04:02 AM
Not every user has the same needs...

Crowdsec is very useful, for example, on VPSs that need to be publicly accessible and get millions of hits per day.

In a firewall context, there shouldn't be an out -> in connection allowed either way. But its very useful on in -> out connections when you cannot trust all devices on your network.

The interface can be a bit overwhelming and feel like they try to upsell you, which they are... But its also honest, for example, I have a server I don't pay premium sub for, I have around 1M detections per month, and they claim a subscription would reduce it by 7%, which is a logical percentage.
#4
German - Deutsch / Re: IPSEC zwischen OPNSense un...
Last post by Z80ACPU - Today at 10:53:30 AM
Hallo Zusammen,
danke für die Aufklärung.

Nur als abschliessende Frage:
Gibt es einen funktionellen Unterschied?

Liebe Grüße
Wolfgang
#5
26.1, 26,4 Series / Re: Gratitious ARP from ISP ca...
Last post by Seimus - Today at 10:20:51 AM
Quote from: pfry on Today at 02:26:49 AMVRRP, etc. will use virtual MACs, not actual, so the MAC should not change.

This is only true, if the VRRP MAC address is enabled as the feature within VRRP.

Some vendors support either VMAC ON or OFF.
If its ON, than a virtual MAC is created that is shared between the VRRP group members and is picked up by the Primary and moving with the VIP depending on who is the Primary at the time.

If its OFF, the phy MAC is used of the Primary, and when the VIP moves, VIP its announced under the new phy MAC of the current Primary member.

For example Linux VRRP implementation keepalived, has VMAC off by default.

Regards,
S.
#6
French - Français / Re: Ouverture de ports pour IP...
Last post by NEOSA - Today at 10:04:57 AM
Quote from: Steven_RHD on Today at 09:27:40 AMBonjour,

Merci pour vos pistes de réflexions !

Le problème venait dû fait qu'il n'y avait pas d'association de règle de filtrages avec les redirections de ports...

Problème réglé.
Cool ;-)

Je me suis fait avoir également (de mémoire lors du passage en V24 ou V25 je pense), la création d'un DNAT ne fabrique pas automatiquement la règle firewall associé, il faut le préciser (exemple en V26 ci dessous plus bas). Pour ma part, je laisse le réglage en manuel & je fais la règle à la main => Je préfère contrôler la création des règles par moi même ;-)

You cannot view this attachment.


#7
Das ist nicht "zicken". Das ist entweder eine einzige Phase 2 SA mit mehreren Prefixen oder eine Phase 2 SA pro Prefix. Implementierungen können das eine oder das andere unterstützen oder beides. Watchguard offensichtlich nur letzteres.
#8
Der unterschied ist dass für jedes Child eine eigene SA aufgebaut wird wenn es einzelne Einträge sind, und wenn alle kombiniert sind in einem Eintrag gelten sie als eine einzige SA.

Ein paar IPsec Implementierungen kommen nicht damit klar wenn in einem SA mehrere Traffic Selector (Children bei strongswan) sind.

Generell mit (älteren) Watchguard oder Sonicwall etc... als peer, viel Glück :)
#9
French - Français / Re: Ouverture de ports pour IP...
Last post by Steven_RHD - Today at 09:27:40 AM
Bonjour,

Merci pour vos pistes de réflexions !

Le problème venait dû fait qu'il n'y avait pas d'association de règle de filtrages avec les redirections de ports...

Problème réglé.
#10
German - Deutsch / IPSEC zwischen OPNSense und Wa...
Last post by Z80ACPU - Today at 09:23:54 AM
Hallo liebe Leute,
ich hab da mal ein Verständnisproblem.
Ich betreibe diverse IPSEC-VPN zwischen unser Zentrale und den einzelnen Standorten, die "fremdgehostet" werden.

Bei den allermeisten VPN war das "straight forward" Phase1 aufgesetzt, Partner definiert und ein Child aufgesetzt, in dem drei lokale Netze mit einem Remote-Netz bekannt gemacht werden.
Dann noch nen Shared Secret austauschen und fertig ist die Laube. (Sorry für die laxe Ausdrucksweise)

Nun habe ich einen Standort, bei dem vom dortigen Betreiber eine Watchguard als VPN-Router/Firewall eingesetzt wird.

Hier, mit der Watchguard hatte ich wirkliche Schwierigkeiten, das Ganze ans Laufen zu bekommen.
Ich bekam immer nur ein einzelnes Netzwerk im Child ans Laufen. Die jeweils anderen Netzwerke waren angeblich installiert, jedoch null Datenverkehr (kein Ping, nix)
Noch toller: bei jedem Neustart der Verbindung lief (statistisch verteilt) immer ein anderes Netz und die beiden anderen nicht. Mal Netz"A" Netz"B" oder Netz"C".

Ich hab ne Weile gebraucht, um genau das zu bemerken.

Nun habe ich pro Netz ein Child definiert und alle drei Netze laufen.

Meine Frage ist nun:
Warum klappt das mit den "mehrere Netze in einem Child" mit den anderen VPN-Routern. (Da sind auch eineige OPenSenses dabei)
Warum gibt es Zicken mit dieser Wireguard?

Vielleicht könnte mir jemand klären, was der Unterschied ist zwischen "Mehrere Netze in einem Child"<->"Ein Netz pro Child"

Vielen Dank für Eure Gedanken im Voraus
Wolfgang