"Recent posts
#91
Q-Feeds (Threat intelligence) / Re: Question: would a leaked c...
Last post by passeri - November 12, 2025, 11:07:03 AMCoincidentally I have this evening (my time) received an alert from haveibeenpwned about an aggregated list from Synthient last April, in which list an email and password appear. Given that list gathers previous material the alert probably repeats previous rather than being new. In any case, without knowing the breach source there is really nothing to do if passwords are strong and never reused. Criminals are not going to expend centuries trying to brute-force long random strings and state actors would not be interested in me.
This is still in the vein of saying of course my e-mail is known, and in some cases they can see the lock (hashed password) but breaking it is another matter so why jump on hearing someone else knows my email and a singular lock? If it were to something critical then I will hear from the organisation and can act as a precaution, though all critical assets have 2FA anyway.
While other people may have a different view, I am not seeing credential monitoring as worth the investment unless it can tell me precisely on which site the breach occurred.
Edit to add: I am my own e-mail provider, and have for many years kept anything important out of e-mail unless the message itself has strong encryption.
This is still in the vein of saying of course my e-mail is known, and in some cases they can see the lock (hashed password) but breaking it is another matter so why jump on hearing someone else knows my email and a singular lock? If it were to something critical then I will hear from the organisation and can act as a precaution, though all critical assets have 2FA anyway.
While other people may have a different view, I am not seeing credential monitoring as worth the investment unless it can tell me precisely on which site the breach occurred.
Edit to add: I am my own e-mail provider, and have for many years kept anything important out of e-mail unless the message itself has strong encryption.
#92
German - Deutsch / Re: Umbau Netzwerk/Rules
Last post by meyergru - November 12, 2025, 10:55:54 AMHier sind meine typischen Interface-Regeln (wie gesagt, abgesehen vom Management-VLAN):
You cannot view this attachment.
Wie Du siehst, nutze ich anstelle von RFC1918 "LOCAL_VLANS net", wobei das die Gruppe aller lokalen Interfaces ist.
So sieht es bei den Floating Rules aus:
You cannot view this attachment.
(Dabei kommen oben drüber übrigens noch Block-Regeln für Emerging Threats, Firehol usw., aber nur für das WAN, weil die Floating-Regeln vor NAT-Regeln mit implizitem "PASS" gezogen werden und sonst Port-Forwards weit offen stünden.)
An sich stehen da aber wie gesagt zunächst Dinge, die "jeder braucht", wie DNS, dann die einzelnen Dienste. Was man in der Übersicht nicht sieht, sind die erlaubten Interfaces, meist steht es im Kommentar. RESTRICTED sind die niedriger privilegierten VLANs.
Und nein, ausgehend filtere ich nichts. In den weniger privilegierten Netzen ohnehin nicht - soll ich mit jemand, der mein Gast-Netz diskutieren, warum irgendwas nicht funktioniert? Oder bei IoT: Der Punkt ist doch, dass ich dort sowieso nicht kontrollieren kann, was die Cloud-Devices tun (nimm an, sie nutzen die "Phone-Home"-Verbindung auf dem "legalen Port 443", um rückwärts einen Proxy in das lokale Netz aufzubauen). Das ist ja gerade der Grund, warum diese VLANs isoliert sind. Auf keinen Fall will ich da jeder Anwendung hinterher turnen und dann nur das öffnen, was die jeweils braucht.
Im Grunde gilt das selbe im LAN: Aufgrund der Tatsache, dass ich den Verkehr im Tunnel nicht kontrollieren kann, ohne ihn aufzubrechen, könnte Malware potentiell sowieso alles unbeobachtet tun. Ich könnte höchstens verhindern, dass bestimmte Command&Control-Server kontaktiert werden.
Adblocking mache ich anders und Kinder oder Angestellte, die ich reglementieren will, habe ich nicht.
All das kann man natürlich on top noch tun, bei mir sind es nur die zusätzlichen Inbound-Regeln, wie gesagt.
You cannot view this attachment.
Wie Du siehst, nutze ich anstelle von RFC1918 "LOCAL_VLANS net", wobei das die Gruppe aller lokalen Interfaces ist.
So sieht es bei den Floating Rules aus:
You cannot view this attachment.
(Dabei kommen oben drüber übrigens noch Block-Regeln für Emerging Threats, Firehol usw., aber nur für das WAN, weil die Floating-Regeln vor NAT-Regeln mit implizitem "PASS" gezogen werden und sonst Port-Forwards weit offen stünden.)
An sich stehen da aber wie gesagt zunächst Dinge, die "jeder braucht", wie DNS, dann die einzelnen Dienste. Was man in der Übersicht nicht sieht, sind die erlaubten Interfaces, meist steht es im Kommentar. RESTRICTED sind die niedriger privilegierten VLANs.
Und nein, ausgehend filtere ich nichts. In den weniger privilegierten Netzen ohnehin nicht - soll ich mit jemand, der mein Gast-Netz diskutieren, warum irgendwas nicht funktioniert? Oder bei IoT: Der Punkt ist doch, dass ich dort sowieso nicht kontrollieren kann, was die Cloud-Devices tun (nimm an, sie nutzen die "Phone-Home"-Verbindung auf dem "legalen Port 443", um rückwärts einen Proxy in das lokale Netz aufzubauen). Das ist ja gerade der Grund, warum diese VLANs isoliert sind. Auf keinen Fall will ich da jeder Anwendung hinterher turnen und dann nur das öffnen, was die jeweils braucht.
Im Grunde gilt das selbe im LAN: Aufgrund der Tatsache, dass ich den Verkehr im Tunnel nicht kontrollieren kann, ohne ihn aufzubrechen, könnte Malware potentiell sowieso alles unbeobachtet tun. Ich könnte höchstens verhindern, dass bestimmte Command&Control-Server kontaktiert werden.
Adblocking mache ich anders und Kinder oder Angestellte, die ich reglementieren will, habe ich nicht.
All das kann man natürlich on top noch tun, bei mir sind es nur die zusätzlichen Inbound-Regeln, wie gesagt.
#93
24.7, 24.10 Legacy Series / Re: Kea DHCP - Expired Leases ...
Last post by sawoco7046 - November 12, 2025, 10:46:20 AMHave any update?
#94
Hardware and Performance / Re: Single home... device?
Last post by kosta - November 12, 2025, 10:30:32 AMQuote from: Seimus on November 12, 2025, 09:38:52 AMWill chime in for a bit,
I use Chinese knockoffs mostly, but I like to punish myself. As well the DYI aspect its kinda a learning curve. Anyway I would choose the official DEC, if I would not feel confident that I can make the knockoff box run.
Yeah, I punished myself enough for years now with my self built box - which is working alright - but God forbid it's not. I really want to go as far as possible away from boxes that break when power runs out. I do have UPS, but also that doesn't hold forever. Had two corruptions in last two years, it's just pain to fix. I would hope some dedicated HW box can do that better. Does it maybe come with PLP? Thought of making self built with PLP alright, but simply thinking if to get a pre-built box might be a better idea. The cost of self built with PLP would be lower also. But, consumes surely more power, on the other side.
Can you tell me what is the typical procedure if something happens to the OS? Like say you can't access it any more... reset? I see console per USB... how does that work?
#95
Hardware and Performance / Re: Single home... device?
Last post by Seimus - November 12, 2025, 10:29:22 AMPatrick & passeri many thanks for the tips. I will look them up.
Currently I run the GS1900-24E, so 24 ports copper based. I could do as well with 16P or 8P on new switch with keeping the old one, but 24P is more suitable in case I would do a drop in replacement for the old switch. This is still something I am considering (oh and I have a small rack ;))
Regards,
S.
Currently I run the GS1900-24E, so 24 ports copper based. I could do as well with 16P or 8P on new switch with keeping the old one, but 24P is more suitable in case I would do a drop in replacement for the old switch. This is still something I am considering (oh and I have a small rack ;))
Regards,
S.
#96
German - Deutsch / Re: Umbau Netzwerk/Rules
Last post by kosta - November 12, 2025, 10:20:56 AM"1. Was heißt "OPNsense blockiert ausgehend, so Bedarf das eigentlich ein Umdenken."? Das ist eigentlich nicht so vorgesehen. Normalerweise blockt oder erlaubt man bei OpnSense nur mit "in" Rules. Oder wie meinst Du das?"
Eh so wie du geschrieben hast, meine Aussage war nur etwas schlampig. IN wie "interface ingress". Barracuda und andere Firewalls die ich kenne, haben das nicht so. Dort ist einfach nur Verkehr a->b, zeigt dir den Interface, aber basiert den Block nicht auf intf ingress.
"2. Wenn Du nur 3 VLANs hast, dann helfen Dir die "Bereiche" oder "sortingnetze" doch nichts, weil innerhalb eines VLANs jeder mit jedem frei kommunizieren kann? D.h. "sonst wenn sich Rule in einem Netz befindet" ist doch irrelevant?"
Ich habe insg. 6 VLANs - MGMT, LAN, PROD, DMZ_INT, DMZ_EXT, GUEST. Nicht ganz irrelevant, glaub ich. Hier sollten nur gewisse Server drin sein, die entweder von dem internen LAN/PROD separiert werden, bzw. von außen erreichbar sind. Und auf diese Server kommen sowohl Geräte aus LAN und PROD hin, bestimmte Services nur versteht sich. Wenn Floating, dann wohl ganze Netze, wenn einzelne Devices, dann entsprechende Interfaces. Sehe ich da was falsch?
"Ich mache das eigentlich so, dass ich zunächst jedes VLAN mal gegen RFC1918 abschotte"
Ich versuche mal zu summieren:
- in jeden VLAN hast ein Deny RFC1918, aber allow any-port non-RFC1918 (oder hab ich das verstanden, weil...)
- du machst einen pass rule vor dem obigen für spezielle services (also filterst du doch ins internet nach port?)
- MGMT hat ein MGMT-any-any rule
- Floating Rules für alles andere intern, so ziemlich das gleiche Prinzip was ich oben abgebildet habe
Ist das in etwa korrekt?
Um genau zu fragen:
"Abgesehen davon dürfen die aber auch jedes Ziel, also ins Internet."
Heißt du filterst nicht per Port ausgehend ins Internet? Ich würde persönlich da eher setzen auf HTTP/S OK für alle, aber dann doch eines oder ein paar Rules die ins Internet nur bestimmte Ports freigeben. Da ich bisher aber oft da reingefallen bin, dass irgendein Spiel nicht geht oder so, wäre vlt sinnvoll im PROD genau zu filtern, da dort doch alles kontrolliert abgeht, und im LAN sowieso alles Richtung Internet erlauben.
Außerdem wird bestimmt noch IoT VLAN kommen, ich weiß nicht wo mein Kopf war, wo ich IoT Devices ins gleiche VLAN wie meinen internen NGINX und DNS platziert hab... omg. :D
Eh so wie du geschrieben hast, meine Aussage war nur etwas schlampig. IN wie "interface ingress". Barracuda und andere Firewalls die ich kenne, haben das nicht so. Dort ist einfach nur Verkehr a->b, zeigt dir den Interface, aber basiert den Block nicht auf intf ingress.
"2. Wenn Du nur 3 VLANs hast, dann helfen Dir die "Bereiche" oder "sortingnetze" doch nichts, weil innerhalb eines VLANs jeder mit jedem frei kommunizieren kann? D.h. "sonst wenn sich Rule in einem Netz befindet" ist doch irrelevant?"
Ich habe insg. 6 VLANs - MGMT, LAN, PROD, DMZ_INT, DMZ_EXT, GUEST. Nicht ganz irrelevant, glaub ich. Hier sollten nur gewisse Server drin sein, die entweder von dem internen LAN/PROD separiert werden, bzw. von außen erreichbar sind. Und auf diese Server kommen sowohl Geräte aus LAN und PROD hin, bestimmte Services nur versteht sich. Wenn Floating, dann wohl ganze Netze, wenn einzelne Devices, dann entsprechende Interfaces. Sehe ich da was falsch?
"Ich mache das eigentlich so, dass ich zunächst jedes VLAN mal gegen RFC1918 abschotte"
Ich versuche mal zu summieren:
- in jeden VLAN hast ein Deny RFC1918, aber allow any-port non-RFC1918 (oder hab ich das verstanden, weil...)
- du machst einen pass rule vor dem obigen für spezielle services (also filterst du doch ins internet nach port?)
- MGMT hat ein MGMT-any-any rule
- Floating Rules für alles andere intern, so ziemlich das gleiche Prinzip was ich oben abgebildet habe
Ist das in etwa korrekt?
Um genau zu fragen:
"Abgesehen davon dürfen die aber auch jedes Ziel, also ins Internet."
Heißt du filterst nicht per Port ausgehend ins Internet? Ich würde persönlich da eher setzen auf HTTP/S OK für alle, aber dann doch eines oder ein paar Rules die ins Internet nur bestimmte Ports freigeben. Da ich bisher aber oft da reingefallen bin, dass irgendein Spiel nicht geht oder so, wäre vlt sinnvoll im PROD genau zu filtern, da dort doch alles kontrolliert abgeht, und im LAN sowieso alles Richtung Internet erlauben.
Außerdem wird bestimmt noch IoT VLAN kommen, ich weiß nicht wo mein Kopf war, wo ich IoT Devices ins gleiche VLAN wie meinen internen NGINX und DNS platziert hab... omg. :D
#97
Hardware and Performance / Re: Single home... device?
Last post by passeri - November 12, 2025, 10:03:13 AMQuote from: Seimus on November 12, 2025, 09:38:52 AMCan you tell me which one you have? I am thinking about to upgrade my old Zyxel.How many ports? SFP or copper?
I am another one who uses Mikrotiks behind Opnsense. My switches comprise two CRS304 4 x 10Gb (+ 1Gb management port) in different places as the principal backbone and a CRS310 with 8 x 2.5Gb + 2 x SFP+ in the "server room" aka workshop. They are excellent switches, all running ROS, though I took advice and replaced the factory fan in the CRS310 with a Noctua for a quieter life.
#98
General Discussion / Re: Default deny rule being hi...
Last post by pfry - November 12, 2025, 09:59:40 AMQuote from: foss-johnny on November 12, 2025, 01:01:26 AMJust checked the details of the log file, and can see it's for protocol 6, which is IPv6. [...]
In this case it's referring to TCP. HTTPS protocol over TCP protocol over IPv4 protocol, so to speak.
Quote from: meyergru on November 12, 2025, 01:52:43 AM[...] One that you posted is from Google and it has a FIN-ACK state. [...]
An over-aggressive session timeout or lost ACKs could cause this, but either would seem highly unusual.
The direction seems odd, but it's been a while since I watched enough TCP streams. Does the server normally close the TCP session?
I don't see any "FA" logs on my firewall (",FA," in "Firewall: Log Files: Plain View"). Offhand - I didn't care to wait for a full search. I do use QUIC, as I listen to YT in the morning.
#99
Hardware and Performance / Re: Single home... device?
Last post by Patrick M. Hausen - November 12, 2025, 09:45:45 AMThe CRS326-24G-2S+IN. Also available as a rack mount model.
2x SFP+, 24x 1G copper, fanless (although I put a quiet USB powered fan next to it), 200 €/$ - great bang for the buck.
I picked the desktop model because I do not have a rack. It's all on two shelf boards in the cabinet behind me in my study. That's why I also added some active airflow. If you decide to buy Mikrotik, IMHO you want RouterOS, even if you use it for layer 2 only. SwitchOS is so limited in features ... well it does switching, granted. But as you might have noticed I am an SNMP nut among other things. Observium and Rancid work great with RouterOS.
2x SFP+, 24x 1G copper, fanless (although I put a quiet USB powered fan next to it), 200 €/$ - great bang for the buck.
I picked the desktop model because I do not have a rack. It's all on two shelf boards in the cabinet behind me in my study. That's why I also added some active airflow. If you decide to buy Mikrotik, IMHO you want RouterOS, even if you use it for layer 2 only. SwitchOS is so limited in features ... well it does switching, granted. But as you might have noticed I am an SNMP nut among other things. Observium and Rancid work great with RouterOS.
#100
Hardware and Performance / Re: Single home... device?
Last post by Seimus - November 12, 2025, 09:38:52 AMWill chime in for a bit,
I use Chinese knockoffs mostly, but I like to punish myself. As well the DYI aspect its kinda a learning curve. Anyway I would choose the official DEC, if I would not feel confident that I can make the knockoff box run.
My advice is as well, go for the DECs. They have trustworthy rated parameters from the vendor and look sexy.
Regards,
S.
I use Chinese knockoffs mostly, but I like to punish myself. As well the DYI aspect its kinda a learning curve. Anyway I would choose the official DEC, if I would not feel confident that I can make the knockoff box run.
My advice is as well, go for the DECs. They have trustworthy rated parameters from the vendor and look sexy.
Quote from: Patrick M. Hausen on November 11, 2025, 09:29:32 PMto my Mikrotik switchCan you tell me which one you have? I am thinking about to upgrade my old Zyxel.
Regards,
S.
