Regel ist grün, obwohl kein Dienst läuft? Was genau passiert da?

[fellpower]

Moin

Als ich heute mal ins Livelog geschaut habe, sah ich eine IP, welche permanent auf Port 443 aufm WAN Interface reinkommt.

Aktuell sieht das in etwa so aus, wie aufm dem angehängten Bild.

Was genau bedeutet das?

Eine IP bekommt von mir Daten auf Port 443 (welcher ja https is) Der Source Port ist immer ein anderer, Zielport immer 443. Einen http Server nutze ich nicht, außer der der Sense. Der ist aber nur im LAN zu erreichen.

Kann mir mal jemand beim deuten helfen, was genau da passiert?

Chris

[lfirewall1243]

Das 10.0.0.X Netz ist wo? Bzw. wessen IP ist die 10.0.0.2?

Sieht für mich nach ausgehenden Verbindungen auf dem WAN aus, heißt von der Firewall raus Richtung Internet.

[fellpower]

Das 10.0.0.X Netz ist wo? Bzw. wessen IP ist die 10.0.0.2?

Sieht für mich nach ausgehenden Verbindungen auf dem WAN aus, heißt von der Firewall raus Richtung Internet.

Das ist die LAN Seite der Sense.

Aber was macht diese ausgehenden Verbindungen? HTTPS von mir auf unterschiedliche Zielports aber gleiche IP?

Interessant ist ja, das es scheinbar von einer meiner VMs kommt. ABer diese Verbindung wird auch aufgebaut, wenn diese VM aus ist. Das kann ich mir jetzt gar nicht erklären...

[lfirewall1243]

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Der Zielport ist doch immer der gleiche. Es geht von deiner OPNsense zu der IP 217...:443

[fellpower]

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Der Zielport ist doch immer der gleiche. Es geht von deiner OPNsense zu der IP 217...:443

Was kann ich denn da checken, warum die Sense das macht?

[fellpower]

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Nein, es ist immer noch der Netzwerkplan, wie in dem Thread. Wo du ja auch versucht hast, mir zu helfen,. ;)
https://forum.opnsense.org/index.php?topic=25571.0

[lfirewall1243]

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Nein, es ist immer noch der Netzwerkplan, wie in dem Thread. Wo du ja auch versucht hast, mir zu helfen,. ;)
https://forum.opnsense.org/index.php?topic=25571.0

Dort ist die 10.0.0.2 ja die WAN IP der OPNsense.
Somit ist es entweder Traffic von deiner OPNsense die etwas per https anfragt, oder ein Gerät aus deinem VM-LAN, wenn kein OutboundNAT auf der OPNsense aktiv ist, wird es die OPNsense selbst sein.

Díe 217.x.x.x.x ist welche IP?

[franco]

Vielleicht kann man ja mal bei der 217.xxx IP gucken welchen Hostnamen die hat und ob auf der OPNsense z.b. der Web Proxy aktiv ist. Sieht halt danach aus als ob die OPNsense das macht wofür sie konfiguriert ist und aktuell sinnieren wir darüber was denn konfiguriert sein könnte mit dem Betreiber der Firewall. :)


Grüsse
Franco

[fellpower]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

[lfirewall1243]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

Dann ist ja alles normal

Es sind einfach ausgehende https Pakete.


Gesendet von meinem M2012K11AG mit Tapatalk

[fellpower]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

Dann ist ja alles normal

Es sind einfach ausgehende https Pakete.


Gesendet von meinem M2012K11AG mit Tapatalk

Aber warum schickt die Sense Pakete da hin? Und warum macht die Sense das zu verschiedenen Hosts? Das war ja nur EIN Beispiel - ich habe einige Hosts - zu denen die Sense das schickt. Und es ist nicht meine eigene öffentliche IP. Die sense ist nur ausm LAN erreichbar. (VPN aufs LAN von meinem PC aus)

[lfirewall1243]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

Dann ist ja alles normal

Es sind einfach ausgehende https Pakete.


Gesendet von meinem M2012K11AG mit Tapatalk

Aber warum schickt die Sense Pakete da hin? Macht sie doch sonst zu keinem anderen Host. Und warum macht die Sense das zu verschiedenen Hosts? Das war ja nur EIN Beispiel - ich habe einige Hosts - zu denen die Sense das schickt. Und es ist nicht meine eigene öffentliche IP. Die sense ist nur ausm LAN erreichbar. (VPN aufs LAN von meinem PC aus)

Habe bisher nirgends deine Outbound NAT Einstellungen der OPNsense gesehen.
Je nach dem wie die genau stehen, kann es auch Traffic deiner Clients sein

Gesendet von meinem M2012K11AG mit Tapatalk

[franco]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

In den Details zu den Logs kannst du z.b. den Namen auflösen. Sagt dir der Hostname/Hoster was?

Die Frage ist letztlich welche Services aktiviert sind... daraus leitet sich dann ab ob einer dafür konfiguriert ist Daten von der IP zu holen zum Zwecke einer Konfiguration wie Blocklist in Unbound oder Regeln für die Einbruchssicherung.

Ich denke wir kommen nicht weiter wenn wir da nicht mehr von dir hören. Die Situation die du aktuell beschreibst ist letztlich "normal" und das wurde auch schon gesagt. :)


Grüsse
Franco

[fellpower]

VMs (Clients) sind keine aktiv. Habe alle VMs gestoppt.

Anbei Outbound NAT. Habe ich ja nix eingetragen.

[fellpower]

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

In den Details zu den Logs kannst du z.b. den Namen auflösen. Sagt dir der Hostname/Hoster was?

Die Frage ist letztlich welche Services aktiviert sind... daraus leitet sich dann ab ob einer dafür konfiguriert ist Daten von der IP zu holen zum Zwecke einer Konfiguration wie Blocklist in Unbound oder Regeln für die Einbruchssicherung.

Ich denke wir kommen nicht weiter wenn wir da nicht mehr von dir hören. Die Situation die du aktuell beschreibst ist letztlich "normal" und das wurde auch schon gesagt. :)


Grüsse
Franco

Hallo Franco

Ich habe alle VMS ausgeschaltet - also kann es ja nur von der Sense selbst kommen. Einbruchssicherung habe ich aktuell nicht aktiv, daher kann die Sense sich da nix holen. Schon gar nicht, alle 10sek.

Selbst wenn ich das LAN komplett tot lege, also alle Clients abschalte, kommen diese Anfragen.

Ich habe hier wohl größere Wissens Defizite als ich angenommen hatte - ich werde mich wohl noch mehr belesen müssen, wenn ihr meint, das wäre normal.

Ich kann / konnte mir halt nicht erklären, warum mein Server https Verbindungen aufbaut, zu Servern, die ich nicht kenne - auch wenn alle Clients im LAN aus sind.