Seltsame Aktivitäten im Netz

Started by spraysn, July 27, 2025, 12:48:25 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 27, 2025, 12:48:25 AM Last Edit: July 27, 2025, 12:54:07 AM by spraysn
Hi,

ich bin neu im OPNsense Universum. Ich habe angefangen alles einzurichten. Unteranderem habe ich IDS aktiviert. Dort kann ich sehen, dass mein access point versucht NTP bei nicht konfigurierten domains abzufragen. Ich bin gerade ziemlich verunsichert.


   WAN      2025-07-27T00:42:56   192.168.xx.15:123   mail.murphyslantech.de:123   udp   nat rule   
   WAN      2025-07-27T00:42:43   192.168.xx.15:123   mail.bmwiedemann.de:123   udp   nat rule   
   WAN      2025-07-27T00:42:37   192.168.xx.15:123   where-you.at:123           udp   nat rule

Das geschieht sehr oft. Der AP wurde gerade erst aufgesetzt. Oder könnte es ein WLAN Client sein?
Ich bin ziemlich ratlos und weiß nicht, was ich tun soll. Meine Vermutung wäre ein bot netz, dass irgendwelche host belagert?

Beste Grüße
July 27, 2025, 12:50:31 AM #1
Port 123 ist NTP. Anscheinend hat dein AP einige NTP-Server vorkonfiguriert.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 27, 2025, 01:23:01 AM #2
Ich habe mich falsch ausgedrückt. Die Daten sind nicht aus dem IDS sonder aus dem ,,Firewall: Log Files: Live View".
July 27, 2025, 01:24:36 AM #3 Last Edit: July 27, 2025, 01:33:51 AM by spraysn
Quote from: Patrick M. Hausen on July 27, 2025, 12:50:31 AMPort 123 ist NTP. Anscheinend hat dein AP einige NTP-Server vorkonfiguriert.
Die sind nicht konfiguriert worden. Das ist ja das, was mich so verunsichert.

Edit1: Der AP wurde resettet und mit der neuesten Firmware bespielt.
Edit2: Das Label lautet ,,nat rule".
July 27, 2025, 01:55:07 PM #4
Viele Geräte haben ab Werk bereits NTP aktiviert, das das ein sinnvolles und notwendiges Protokoll ist. Eine über alle Geräte synchronisierte Uhrzeit im Netzwerk ist unabdingbar.

Was genau ist denn das Problem damit? Dieser Verkehr ist erwünscht und harmlos.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 27, 2025, 01:59:27 PM #5
P.S.: Die seltsamen Namen der NTP-Server resultieren daraus, dass man in NTP typischerweise mittels 0.pool.ntp.org o.ä. Pools von NTP-Server addressiert, in dem alle möglichen NTP-Server im Internet enthalten sind. Das ist also nichts Verdächtiges.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
July 27, 2025, 06:21:10 PM #6
Quote from: Patrick M. Hausen on July 27, 2025, 01:55:07 PMViele Geräte haben ab Werk bereits NTP aktiviert, das das ein sinnvolles und notwendiges Protokoll ist. Eine über alle Geräte synchronisierte Uhrzeit im Netzwerk ist unabdingbar.

Was genau ist denn das Problem damit? Dieser Verkehr ist erwünscht und harmlos.
Ich war verunsichert, weil mein AP externe NTPs anfragt, die ich nicht konfiguriert habe; vor allem wegen dem "nat rule". Ich war aber auch unvorsichtig in der Wahl meiner internen domain. Ich habe die meiner externen (domain.tld) gewählt. Ich habe vorhin nochmal von vorne angefangen und local.domain.tld als interne domain gewählt. Das sieht schon mal etwas besser aus; zumindest keine "nat rule" mehr.

Quote from: meyergru on July 27, 2025, 01:59:27 PMP.S.: Die seltsamen Namen der NTP-Server resultieren daraus, dass man in NTP typischerweise mittels 0.pool.ntp.org o.ä. Pools von NTP-Server addressiert, in dem alle möglichen NTP-Server im Internet enthalten sind. Das ist also nichts Verdächtiges.

Ich hatte vor dem Installieren von OPNsense die Vermutungen, dass mein Netzwerk kompromittiert sei.
July 27, 2025, 06:25:18 PM #7 Last Edit: July 27, 2025, 06:36:11 PM by spraysn Reason: Grammatik
Interne DNS Auflösung:
Wie funktioniert das bei OPNsense? Ich sehe auf den ersten Blick mehrere Möglichkeiten A-Records zu erstellen. Eimal Unbound und DNSmasq. Ist das richtig? Wo sollte ich interne A-Records eintragen?
July 27, 2025, 06:37:06 PM #8
Wenn Du beides benutzt, eher DNSmasq, falls es um A-Records für interne Clients geht. Normalerweise sind es ja nicht nur die A-Records, sondern eher statische DHCP-Einträge, die neben IP und Namen auch noch MACs beinhalten. Das kann Unbound sowieso nicht, zudem wirst Du in einer Standardkonfiguration die interne Domain von Unbound auf DNSmasq delegieren, da wäre es widersinnig, die Records für einzelne Einträge im Unbound zu haben.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
July 27, 2025, 08:18:06 PM #9 Last Edit: July 27, 2025, 08:20:33 PM by spraysn
Ich will beim empfohlenen OPNsense Standard bleiben. So wie ich das gelesen habe, findet gerade ein Umbruch was DHCP und DNS angeht, statt.
1. Ist Unbound für externe Auflösung und DNSmasq für interne Auflösung zuständig?
2. Wie kann ich statische IP-Adressen im internen Netzwerk automatisch bei DNS eintragen lassen? Oder muss ich das manuell machen? Ich kenne es nur manuell.
July 30, 2025, 12:01:40 PM #10
Quote from: spraysn on July 27, 2025, 08:18:06 PM1. Ist Unbound für externe Auflösung und DNSmasq für interne Auflösung zuständig?
Nein, das sind zwei Werkzeuge. Unbound ist ein DNS Resolver - der löst selbst DNS über die Root Server auf. DNSmasq ist ein Forwarder, der schickt nur alles an irgendeinen DNS Server (oder mehrere) draußen weiter. Ich persönlich bin kein Fan von Forwarding, weil ich mich dann verlasse auf das was der Forwarder mir sagt und das wieder zentralisiert, was dezentral sein sollte. Was du tust, liegt ganz bei dir und deinen Vorlieben. Beide laufen aber theoretisch auf dem gleichen Port also entweder - oder. Der Umbruch der stattfindet ist lediglich der default, und da DNSmasq auch DHCP spielen kann, ist das für kleine Setups vielleicht einfacher (ähnlich wie Pihole). Ich bevorzuge klar Unbound für DNS und was anderes (Kea, ISC, Dnsmasq, egal) für DHCP. Je nach Bedarf.

Quote from: spraysn on July 27, 2025, 08:18:06 PM2. Wie kann ich statische IP-Adressen im internen Netzwerk automatisch bei DNS eintragen lassen? Oder muss ich das manuell machen? Ich kenne es nur manuell.

Wenn es um IPs geht, die Geräte via DHCP fix haben (static reservations), die können in DNS mit reingeladen werden. Hängt aber von DHCP/DNS Kombo ab. Wenn es um völlig getrennte IPs geht (Geräte statisch konfiguriert), dann kann man sowohl Unbound als auch DNSmasq über Host Overrides problemlos Einträge dazukonfigurieren. Oder du machst dann das große Fass auf und machst bspw. das Bind Paket mit rauf und machst eine eigene interne Domain mit DNS Server. Was du da vor hast, weiß ich ja nicht :)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 31, 2025, 08:35:51 PM #11 Last Edit: July 31, 2025, 09:12:17 PM by spraysn
Habe jetzt nach dieser Anleitung DHCPv4 with DNS registration und dieser Anleitung DHCPv6 and Router Advertisements die empfohlene Konfiguration durchgeführt. Habe dann unter "Services ‣ Dnsmasq DNS & DHCP ‣ Hosts" meinen internen Host eingetragen und das Häkchen bei "Local" gesetzt. Leider löst er nicht auf.

Edit: Es war nötig, den DNS-Server in der IP-Range zu deklarieren. Er hat sonst die DNS-Server unter "System -> Settings -> General" verwendet.
Print
Go Up Pages1
User actions