Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

[stefan21]

Hallo Oxygen61,

(Weiß gerade nicht ob das hier schon gesagt wurde oder in einem anderen Thread) aber du kannst einfach ans Ende deines Regelwerks ein DENY ANY ANY setzen und das Loggen dieser Regel aktivieren. Schaust du dann bei "Log Files" beim "Firewall" Reiter nach und klickst dort auf die Kreuze kommen Meldungen hoch, die sagen welche Regel angewendet wurde. Steht da "DENY ANY ANY" weißt du, welche Protokolle durch die letzte Regel weggehascht werden.
Aber das hast du sicher eh schon gemerkt.

Nein, wusste ich noch nicht, danke für den Tipp.

Allerdings ist bei meiner Version OPNsense 16.7.14_2-amd64, FreeBSD 10.3-RELEASE-p14, unter Firewall - Logfiles kein Reiter mit "Firewall". Ich kann auswählen zwischen Normal View, Dynamic View, Summary View und Plain View. Unter Normal View kann ich allerdings Filter setzen.

ABER: Bei meinem aktuellen Problem mit dem ClamAV-Update finde ich leider nicht eine einige IP der ClamAV-Mirror. Ich weiss nicht, was da falsch läuft. Müsste aber mit dem Web Proxy zusammenhängen. Wenn ich den ausschalte und die Regeln entsprechend deaktivierte und ändere, dann läuft das Update.

Wer will die denn alle lesen?

Na ja, stimmt schon. Es ist schon sehr komplex alles... Trotzdem hätte ich gerne so ein kleines Heftchen/Buch mit dem Grundsätzlichen der OPNsense. Ich bin seit 17 Jahren ein grosser Freund der SME Server. Dort gab es dann, nach Jahren allerdings, auch einen SME Server für Dummies. Find ich so schlecht nicht.

stefan

[Oxygen61]

Ich meinte den Haupt-Reiter "Firewall" unter "Interfaces" und "System".
Filter brauch man gar nicht setzen (natürlich abhängig von deinem Netz).
Geht ja in deinem Fall nur um die Blocks dieser Regel. Das sieht man da dann halt immer ganz schön bei "Dynamic View".

Was du natürlich einfach mal machen könntest wäre auf die neue Version zu Upgraden.
Bei 17.1 ist viel passiert und das kann das Problem vielleicht(?) beheben.
(Vorher das alte (16.7.14_2) Image bereit legen und die config.xml sichern)

OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.

Wegen dem Proxy Problem (oder ClamAV) kann ich dir aber leider sonst nich helfen, sorry!
Bist du dir aber sicher, dass du dem ClamAV beigebracht hast, dass er für das Updaten einen Proxy nutzen muss? (Also die OPNsense)?

[monstermania]

..was da so für Protokolle im LAN herum schwirren, und welche Ports zum Arbeiten tatsächlich benötigt werden.
Heute morgen habe ich z. B. gelernt, dass der Port 3000 sehr wichtig ist. Wenn ich erstmal alles verbiete, dann geht natürlich auch das Online-Banking nicht...

Hmm,
gibt es eigentlich keine 'Protokolle' die im LAN herumschwirren, sondern Dienste die auf einem Port kommunizieren bzw. lauschen.
Und ja, ein deaktivieren der ausgehenden Any2Any-Regel auf der Firewall bedeutet zunächst mal viel Arbeit. Aber eben auch ein erhöhtes Maß an Sicherheit! Sonst brauchst Du keine Firewall zu benutzen, sondern kannst auch  gleich eine Fritzbox nehmen. 
Und den Port 3000 würde ich auch nicht einfach so auf der FW freischalten, sondern ich würde eine Gruppe (Alias) erstellen. In diese Gruppe nimmst Du alle Rechner im Netz auf, die Banking überhaupt machen dürfen. Und ausschließlich für diese Gruppe wird der Port 3000 in der Firewall freigeschaltet!
Ja, dass klingt sehr aufwändig, aber nur dadurch weiß man genau, was welcher Rechner im Netz darf und was nicht.

Zu Deinem ClamAV-Problem fällt mir folgendes ein. Hast Du schon mal versucht die ClamAV-Updateserver in das Whitelisting des Proxy einzutragen?
Oder die IP-Adressen Deiner internen Server in die Liste der 'Unristricted IP adresses' (siehe Bild)?
So ein ähnliches Problem hatte wir hier in der Firma auch mal, als die Firewall die Updates für unseren GData-AV-Updates geblockt hatte. 

Gruß
Dirk

 

[monstermania]

OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.

Dokumentation ist leider ein generelles Problem, selbst bei kommerziellen Produkten!
Die Dokumentation unserer Firmen-Firewall hängt auch immer hinterher. Mit etwas Glück/Suche findet man die Lösung dann im Hersteller-Wiki oder im Hersteller-Forum. 
Dokumentation kostet halt Zeit und damit Geld. Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein goßer Aufwand. Für ein Opensourceprojekt wird das dann noch viel schwieriger. Längst nicht jeder gute Programmierer schreibt auch verständliche Dokumentationen.

Im Prinzip sind aber alle mir bekannten Firewalls ähnlich aufgebaut. Und wer das Grundprinzip verstanden hat, findet sich auch mit einem anderen Produkt schnell zurecht. Und die speziellen Anforderungen gehen dann schon wieder weit über das 'Dummy-Niveau' hinaus!
Nichtsdestotrotz würden sich die OPNSense-Entwickler mit Sicherheit darüber freuen, wenn sich freundliche Doku-Schreiber in der Community finden würden! 

[Oxygen61]

Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein großer Aufwand.

DAS ist das eigentliche Problem denke ich. Eine Doku schreiben das lässt sich bewerkstelligen.
Ich habe so oder so vor eine Doku zu schreiben, sobald ich mein Heimnetz aufbaue.
*Wartet noch auf die Hardware*
Ich hätte kein Problem damit die, soweit ich es vertreten kann, dann auch öffentlich zu machen.
Die Basics würde ich dann damit also abdecken.
Jedoch würde ich mich nicht verpflichten diese dann immer aktuell zu halten,
wo wir wieder beim eigentlichen Problem wären.

Schöne Grüße
Oxy

[stefan21]

@monstermania

Hmm,
gibt es eigentlich keine 'Protokolle' die im LAN herumschwirren, sondern Dienste die auf einem Port kommunizieren bzw. lauschen.

Korrekt, sorry da war ich nicht präzise.

Zu Deinem ClamAV-Problem fällt mir folgendes ein. Hast Du schon mal versucht die ClamAV-Updateserver in das Whitelisting des Proxy einzutragen?
Oder die IP-Adressen Deiner internen Server in die Liste der 'Unristricted IP adresses' (siehe Bild)?
So ein ähnliches Problem hatte wir hier in der Firma auch mal, als die Firewall die Updates für unseren GData-AV-Updates geblockt hatte. 

Ich habe in der Unrestricted IP adress die beiden Server mit ihrer IP eingetragen, und in der Whitelist current.cvd.clamav.net, db.local.clamav.net und database.clamav.net.

@Oxygen
Den Proxy hatte ich schon einmal in der freshclam.conf auf dem Server eingetragen, hat aber leider nicht geholfen. Ich probiers nochmal mit dem anderen Server.

Was du natürlich einfach mal machen könntest wäre auf die neue Version zu Upgraden.
Bei 17.1 ist viel passiert und das kann das Problem vielleicht(?) beheben.

Ist das eine Stable-Version?

stefan

[Oxygen61]

Ist das eine Stable-Version?

Jep ist es. Ich für meinen Teil warte aber immer trotzdem gerne noch auf ein Update nach einem Upgrade.
Wenn ich Franco da richtig verstanden hatte, kommt das Update dann eh in den nächsten paar Wochen.
Also entweder mutig sein oder abwarten, aber Upgraden solltest du eh. Die 16.x ist EndofLife

Es ist halt immer wichtig auszuschließen, dass es nicht an der gerade genutzten Version liegt, wenn es denn noch Update Möglichkeiten gibt.

Den Proxy hatte ich schon einmal in der freshclam.conf auf dem Server eingetragen, hat aber leider nicht geholfen. Ich probiers nochmal mit dem anderen Server.

Du musst dem Server schon sagen, dass er einen Proxy nutzen muss anstatt der direkten Verbindung. Wie das bei ClamAV funktioniert... keine Ahnung.
Aber diese Fehlerquelle solltest du versuchen auszuschließen.

[stefan21]

Quote

    Ist das eine Stable-Version?


Jep ist es.

Okay. Update funktioniert wie? Ein Backup (xml-Datei) erstellen, DVD brennen, einlegen, Update auswählen? Oder erfolgt eine Neuinstallation und danach wird die xml-Datei importiert?

Online geht nicht, oder?

stefan

[Oxygen61]

Okay. Update funktioniert wie? Ein Backup (xml-Datei) erstellen, DVD brennen, einlegen, Update auswählen? Oder erfolgt eine Neuinstallation und danach wird die xml-Datei importiert?
Online geht nicht, oder?

Vorher hier einmal alles durchlesen und nachschauen was sich ändern wird:
https://opnsense.org/opnsense-17-1-released/
Besonders wichtig hierbei die Punkte die bei Migration Considerations stehen.

Generell sollte man davon ausgehen das etwas schief geht, bzw. schief gehen wird. Deshalb solltest du dir einen Fallback Plan überlegen. Da es für Fallbacks von einer Firmware Version zu einer älteren bei OPNsense noch kein vertrauenswürdiges Tool gibt, solltest du dir also die "alte" 16.x Firmware auf USB oder auf CD gebrannt vorbereiten, damit der Fallback im schlimmsten Fall wenigstens schnell funktioniert.
Die Config.xml unter System> Configuration> Backups auch noch ebenfalls abspeichern.
Vorher ganz wichtig! check for updates auswählen in der GUI und falls noch kleinere Update Patches da sind diese vorher noch installieren.
Bei dem Firmwareupgrade auf 17.1 wurde vom OPNsense Team empfohlen eine Neuinstallation durchzuführen und dann nur wieder die abgespeicherte Config.xml einzupflegen.

Bist du Faul oder hattest keine Zeit (so wie ich  ) kann das Upgrade auch über die Konsole durchgeführt werden. Also an die Konsole ranstecken (oder SSH nutzen, das funktioniert glücklicherweise auch!) und dann "12" drücken. Wenn er dich fragt was du machen willst, schreibst du bei den drei Auswahlmöglichkeiten (17.1/Y/N/) "17.1" in die Zeile und bestätigst mit Enter.
Die OPNsense Kiste wird dann 2-3 mal Neustarten beim Upgraden (Bei mir dauerte es ungefähr 10 Minuten).

Danach schaust du ob alle Einstellungen das Upgrade überlebt haben und das wars dann auch schon.

Schöne Grüße
Oxy

[stefan21]

Hallo Oxygen,

Bist du Faul oder hattest keine Zeit (so wie ich  ) kann das Upgrade auch über die Konsole durchgeführt werden. Also an die Konsole ranstecken (oder SSH nutzen, das funktioniert glücklicherweise auch!) und dann "12" drücken. Wenn er dich fragt was du machen willst, schreibst du bei den drei Auswahlmöglichkeiten (17.1/Y/N/) "17.1" in die Zeile und bestätigst mit Enter.

Ich bin so faul wie Du, und werd's per ssh probieren  .

Schönen Dank nochmals für die Unterstützung.
stefan

[Oxygen61]

Hehe, bei mir ging alles glatt mit SSH.
Wenn du dir im Klaren bist, was bei Migration Considerations alles stand und bedacht werden muss,
wird alles gut gehen.

Kein Problem und immer wieder gerne.

Schöne Grüße
Oxy

[stefan21]

Der Wille war da - lief auch fast durch.

ABER: kein OpenVPN mehr. Macht so keinen Sinn.

Habe mich hier mal etwas informiert https://forum.opnsense.org/index.php?board=23.0

Wenn man das alles so durchliest, dann würde ich sagen - weit weg von Stable. Da warte ich lieber mal noch eine Weile ab. Heisst für mich - zurück auf 16.7. Nix für ungut...

stefan

[Oxygen61]

Hey hey,

deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache.
Bei mir ist halt nur der Einsatz von Captive Portal wichtig gewesen und ein paar kleine vereinzelte Sachen, die ich mal per Konsole eingerichtet hatte, die laut Patchnotes aber nicht angefasst wurden.
Von daher war das für mich kein Thema.

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen.

Ich hoffe du hattest dir für den Fallback was vorbereitet.

Schöne Grüße
Oxy

[stefan21]

Kein Problem, easy. War schnell erledigt

stefan

[monstermania]

deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache.

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen.

Ich warte auch immer ein Update ab!
Hat aber nichts mit OpenSource oder so zu tun, sondern ist einfach ein Erfahrungswert, den ich in über 20 Jahren IT gemacht habe!
Trifft leider auf alle Hersteller zu, dass ich zunächst auf das 1. Update/SP warte um Software zu installieren. Ich habe zwar auch schon meine 17.1 Image zu Hause, aber ich warte auch noch 1-2 Updates ab. Die 16.7.14 läuft bei mir absolut problemlos.