GeoIP Problem

Started by Peti, January 08, 2024, 02:16:36 PM

Previous topic - Next topic
Hallo,
ich versuche in OPNsense das GeoIP-Blocking einzurichten. Dazu habe ich eine Anleitung für MaxMind GeoLite2 gefunden und befolgt. Jedoch erhalte ich eine Fehlermeldung, mit der ich nichts anfangen kann.
Auf den Bildern ist zu erkennen, dass ich die Anzahl auf 1000000 erhöht habe. Ich konnte nur 4 Bilder anhängen, darum als Text: Unter Firewall - Regeln - WAN ist auch die entsprechende Regel eingetragen. Aber die Fehlermeldung (Bild2) kommt ja schon beim Einrichten. Kann mir bitte jemand einen Tipp geben, was ich ev. übersehen/vergessen oder falsch gemacht habe?
Danke
Peti

Hast du denn bei Maxmind einen Account angelegt und dann in der OPNsense hinterlegt?

QuoteAccessing GeoLite2 Free Geolocation Data

You will need a free GeoLite2 account to download the GeoLite2 databases or to query the GeoLite2 web services.

https://dev.maxmind.com/geoip/geolite2-free-geolocation-data
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Hallo,
ja, Account habe ich gelegt, URL incl. Key eingetragen. (Bild2).

MfG

January 10, 2024, 07:31:28 AM #3 Last Edit: January 10, 2024, 07:54:37 AM by Mabub
Moin,
zeig mal deine Firewall: "NAT: Portweiterleitung" Regel und die "Firewall: Aliase > GeoIP Einstellungen" die URL die Du eingetragen hast. Den Key mit XXXXXXX hier ins FORUM versteht sich  ;)

Auch gibt man in GeoIP an was weniger ist um die Liste kurz und effizient zu halten. Also wenn Du z.B. nur 3 Länder erlauben willst, dann wählt man diese an und blockiert alle bis auf die. Wenn Du z.B. nur 3 Länder sperren willst, dann wählt man diese an und erlaubt alle bis auf die. Das regelt man unter NAT zur Quelle.

Die GeoIP Einstellungen alleine ist keine "Blockliste" in dem Sinn, es scheint mir da unnötig viel ausgewählt zu sein. Auch wird damit noch keine Regel angewendet. Was genau willst Du damit machen?


... die Fehlermeldung (1. Post, Bild2) erhalte ich bereits, wenn ich die URL eintrage und die Änderung speichern will, da bin ich noch nicht bei NAT...
Nur so nebenbei, ob das wichtig ist oder damit zusammenhängt... keine Ahnung.

January 10, 2024, 06:18:20 PM #6 Last Edit: January 10, 2024, 07:20:00 PM by Mabub
Dein Link scheint für OPNsense nicht konform zu sein, dein Key kommt mir auch ein bissel lang vor was aber nix heißen muss, den Du aber hier nicht posten solltest.  ;)

Beantrage einen neuen Key, überprüfe diesen auf Korrektheit und ersetz die X im Link unten durch diesen.
Siehe auch: Anleitung

https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=XXXXXXXXXXXXXXXXX&suffix=zip


Lösche das Alias und erstelle ein neues! U.A. beim Wiederherstellen der OPNsense kann es passieren, das die Aktualisierung nicht mehr funktioniert. Einfach neu anlegen.

Ohne eine Regel anzuwenden wird GeoIP nicht funktionieren, damit werden nur die Daten geladen. Anwenden musst Du das in der Firewall, z.B. unter NAT für einen Nextcloud-Server der nur aus gewissen Ländern erreichbar sein soll. Siehe Bild.

Mach das mal und melde dich dann...

Hallo,
ich habe alles, was mit GeoIP zusammenhängt gelöscht, einen neuen Key bei MaxMind generiert (alten gelöscht) und in OPNsense eingerichtet. Das hat nun ohne Fehlermeldung geklappt. Danke.
Ich habe den Alias neu angelegt und nur DE aktiviert. Dann habe ich unter Regeln - fließend eine Regel erstellt für GeoIP (Bild8). Getestet habe ich sowohl mit "erlauben" als auch "blockieren". Ich komme in beiden Fällen durch. Muss ich noch an anderer Stelle was einrichten?
Gruß
Peti

January 11, 2024, 03:55:03 PM #8 Last Edit: January 11, 2024, 04:03:21 PM by Mabub
Dazu muss ich wissen was Du machen willst.

Eine "Fließende Regel" ist nicht zu empfehlen, denn warum soll es über alle Schnittstellen gelten? GeoIP wendet man eigentlich nur auf den WAN-Port (alles was von außen kommt) an, den die Listen sind externe Adressen die auf dein WAN eine Auswirkung haben sollen.

In deiner Regel blockierst du jede Quelle auf dein GeoIP... macht keinen Sinn. Löschen!

Was möchtest Du machen?

Hallo,
die fließende Regel sollte nur als Test dienen. Ich wollte wissen, ob wirklich geblockt wird, was leider nicht passierte, weder bei Erlauben noch bei Blockieren...
Ich möchte einen NAS-Server absichern, weil ich viele FTP-Anmeldeversuche aus Nicht-Deutschland im Log habe. Ich will die von Anfang an blocken, so dass die gar nicht bis zur Anmeldung kommen. Es soll nur DE frei sein. Jetzt bitte keine Diskussion über FTP beginnen. Kurz: Ist nötig.
Okay, die fließende Regel kommt weg, dafür eine bei NAT Portweiterleitung rein. Auf was muss ich speziell achten. Ich habe bisher eine für FTP (Port 21) zum NAS drin. Muss diese verändert werden oder eine weitere hinzugefügt?

January 12, 2024, 11:51:14 AM #10 Last Edit: January 12, 2024, 01:35:14 PM by Mabub
Eine Cloud wäre in der Tat besser, aber ich empfehle dir wenigstes SFTP/FTPS zu verwenden.
Wie dem auch sei...

Ich nehme an das dein FTP-Server generell erreichbar ist. Wenn nur DE-Adressen auf dein NAS über (S)FTP zugreifen sollen, dann wende die Regel so an wie ich bereits gepostet hab. Nochmal anbei.

Du erlaubst unter NAT nur den Quellen von GeoIP (ADRESSEN > DE) und (ALLE PORTS, ein freier Port wird ausgehandelt) einen Zugriff auf das Ziel (WAN) von außen, damit von außen auf die OPNsense per WAN-Zugriff gewährt wird. Die Ziel-IP (als ALIAS IP) und Ports (als ALIAS Port) müssen deine vom FTP(S/TLS) beherbergen, je nachdem was Du am Server eingestellt/freigegeben hast, z.B. 20-22, damit NAT funktioniert und die OPNsense weiß was und wohin damit. Minimiere die Ports auf die Notwendigkeit. Die "Firewall: Regeln: WAN" wird (sollte) dann automatisch erstellt (werden). Als Protokoll sollte nur TCP verwendet/eingestellt werden. Fertig.

Testen musst Du das dann mit einer externen VPN-Serververbindung aus einem anderen Land oder Du testest es mit der GeoIP-Einstellung kurzzeitig nur z.B. USA oder einem anderen Land außer DE. Quasi sich selbst zum Testen aussperren.

Beachte:
1. Umstellungen an GeoIP und Regeln können eine Zeit dauern bis diese angewendet werden, ggf. die OPNsense neu starten.
2. Wenn Du auf DE stellst kann jemand aus einem anderen Land über einen VPN-Server in DE immer noch zugreifen, eh klar. Es reduziert aber die "Angriffe/Zugriffe" schon enorm.

Hallo,
danke für die Unterstützung. Das funktioiert nun so, wie ich mir das vorstelle. Ich habe das mit einem VPN in die Niederlande getestet, das wurde geblockt, DE kam durch. Als Test hatte ich zunächst mal nur SFTP (Port 22) eingestellt, wird noch verändert.
So wie im Bild9 ist das richtig eingestellt? Nicht wundern, FTP habe ich erstmal nur intern (über ein VPN zw. 2 Fritzboxen) eingetragen.
Gruß
Peti

Was das ALIAS beherbergt sehe ich nicht, soweit ich das erblicken kann :o passt das so.

Am besten immer "gewollte/nicht gewollte" Zugriffe auslösen und im Firewall-Protokoll nachlesen, was damit passiert ist und wie es behandelt wurde, ist die beste Kontrolle.

alles klar, habe ich verstanden und nochmals danke. Ich kann beruhigt ins Wochenende gehen. :)