von Extern eigene OPNSense mit nmap gescannt

[Pitti3303]

Hallo zusammen,

bis auf Wireguard habe ich nicht wissentlich Ports geöffnet, nmap ist da jedoch anderer Meinung.

Host is up (0.0012s latency).
Not shown: 65526 filtered tcp ports (no-response)
PORT      STATE  SERVICE     VERSION
80/tcp    open   http?
137/tcp   closed netbios-ns
139/tcp   closed netbios-ssn
443/tcp   open   https?
3128/tcp  open   squid-http?
8080/tcp  open   http-proxy?
8118/tcp  open   privoxy?
8228/tcp  open   unknown
10011/tcp open   unknown

Woran könnte das liegen?

VG
Peter

[meyergru]

Meine NI sagt: Glaskugel ist kaputt, zu wenig Information.

Unter Voraussetzung wahrscheinlicher Annahmen (nämlich: Du hast aus Deinem LAN den Scan gestartet und nicht von der WAN-Seite aus) würde ich vermuten, dass die standardmäßig auf dem LAN-Interface vorhandene Allow-Any-Regel den Zugriff auf alle Ports auf der OpnSense erlaubt.

Dieser Scan kann eigentlich kaum von außen stattgefunden haben, da Du mutmaßlich nur eine öffentliche IPv4 (hast Du die gescannt?) hast und outbound NAT jeden Zugriff verhindert, falls keine Portweiterleitungen eingerichtet wurden, was Du ja ausschließt.

Wenn Du das doch von außen gemacht hast, stellen sich Fragen: Was für ein WAN-Anschluss ist das, wie ist die Topologie?

[Pitti3303]

Moin, wie im Titel geschrieben von Extern - anderes WAN ungleich meinem Anschluss. Zu den geöffneten Ports muss ich ergänzen, dass meine Telefonanlage (Fritz!Box in einem VLAN hinter der OPNSense) mit meinem Provider (VDSL 1&1) spricht - klappt alles bestens. Die Fritz!Box macht nur Telefonie, alles andere übernehmen weitere Geräte.


Zur Topologie: VDSL-> Vigor167 mit PPPoE passthrough -> WAN-Port OPNNSense -> 10Gbit Fiber VLAN 1 bis x tagged an Switch (Zyxel XMG1915-18EP).

[meyergru]

Scan mal von innen Deine OpnSense. Ich wüsste nicht, wie die Ports 8080, 8118, 137,139 usw. überhaupt auftauchen sollten, weil die ja schon lokal nicht offen sind - wie also von außen?

Hast Du die richtige IP gescannt? Hast Du einen DS-Lite-Anschluss?

[chrs]

Host is up (0.0012s latency).

Zur Topologie: VDSL

Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.

[Pitti3303]

Host is up (0.0012s latency).

Zur Topologie: VDSL

Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.

Den Wert habe ich auch nicht erwartet. Fakt ist, ich habe meine WAN-IP von einem anderen Anschluss mit anderer WAN-IP gescannt.

[Pitti3303]

Scan mal von innen Deine OpnSense. Ich wüsste nicht, wie die Ports 8080, 8118, 137,139 usw. überhaupt auftauchen sollten, weil die ja schon lokal nicht offen sind - wie also von außen?

Hast Du die richtige IP gescannt? Hast Du einen DS-Lite-Anschluss?

Den Scan von innen auf die LAN-IP meiner OPNSense oder von innen auf die WAN-IP der Sense? Die gescannte IP hat gepasst. Was DS-Lite betrifft, wie würde ich das erkennen?

[meyergru]

Beides.

1&1 VDSL macht teilweise DS-Lite. Du würdest es typischerweise daran sehen, dass die in OpnSense angezeigte WAN-IP eine aus dem Bereich 100.64.0.0/10 oder eine RFC1918 ist. Diese unterscheidet sich oft auch von der IP, die nach außen sichtbar wird, wenn man Verbindungen aufbaut.
Das würdest Du sehen, wenn bei https://wieistmeineip.de eine andere WAN-IP angezeigt wird als in Deinem Dashboard.

Es gibt hier auch einen Test dafür: https://ip.zuim.de/

Wenn das kein voller Dual-Stack ist, dann hast Du ein Router-behind-Router-Szenario, bei dem Du Dir die WAN-IP mit mehreren Kunden teilst. Es ist dabei nicht möglich, einen Port per IPv4 weiterzuleiten (der wäre nur für den Provider selbst erreichbar), bzw. bewirkt es nichts.

Bei Scans von außen erreichst Du also gar nicht Deine OpnSense, sondern den vorgeschalteten Router.

[chrs]

von einem anderen Anschluss

Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?

[Pitti3303]

Beides.

1&1 VDSL macht teilweise DS-Lite. Du würdest es typischerweise daran sehen, dass die in OpnSense angezeigte WAN-IP eine aus dem Bereich 100.64.0.0/10 oder eine RFC1918 ist. Diese unterscheidet sich oft auch von der IP, die nach außen sichtbar wird, wenn man Verbindungen aufbaut.
Das würdest Du sehen, wenn bei https://wieistmeineip.de eine andere WAN-IP angezeigt wird als in Deinem Dashboard.

Es gibt hier auch einen Test dafür: https://ip.zuim.de/

Wenn das kein voller Dual-Stack ist, dann hast Du ein Router-behind-Router-Szenario, bei dem Du Dir die WAN-IP mit mehreren Kunden teilst. Es ist dabei nicht möglich, einen Port per IPv4 weiterzuleiten (der wäre nur für den Provider selbst erreichbar), bzw. bewirkt es nichts.

Bei Scans von außen erreichst Du also gar nicht Deine OpnSense, sondern den vorgeschalteten Router.

Die im Dashboard angezeigte IP stimmt mit der von https://wieistmeineip.de überein.

[Pitti3303]

von einem anderen Anschluss

Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?

Bin jetzt wieder @home, das muss ich in der nächsten Woche mal nachreichen.

[meyergru]

Dann sind noch zwei weitere Fragen offen: Was zeigt der DS-Lite Test und was passiert, wenn Du von innen scannst?

Außerdem kannst Du auch von zu Hause einen solchen Scan anstoßen, z.B. hier: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap

Ich denke immer noch, dass die Ergebnisse auf eine Fehlmessung hindeuten, weil sie offene Ports anzeigt, wo gar keine sind. Selbst, wenn Du eine Fehlkonfiguration hättest, gibt es nicht solche Ergebnisse.

Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?

[Pitti3303]

Dann sind noch zwei weitere Fragen offen: Was zeigt der DS-Lite Test und was passiert, wenn Du von innen scannst?

Außerdem kannst Du auch von zu Hause einen solchen Scan anstoßen, z.B. hier: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap

Ich denke immer noch, dass die Ergebnisse auf eine Fehlmessung hindeuten, weil sie offene Ports anzeigt, wo gar keine sind. Selbst, wenn Du eine Fehlkonfiguration hättest, gibt es nicht solche Ergebnisse.

Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?

Von innen auf die LAN-IP der Sense:
Not shown: 994 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
3128/tcp open  squid-http
8080/tcp open  http-proxy

von innen auf die WAN-IP:
Not shown: 996 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
3128/tcp open  squid-http
8080/tcp open  http-proxy

Die Testseite zeigt mir meine v4 Adresse und wird bei v6 nicht fertig. ("Warte auf IPv6")

[Pitti3303]

Du hast nicht zufällig den Scan durchgeführt, während der Wireguard-Tunnel zu Deinem Netz aktiv war, oder?

Nein

[meyergru]

Du hast nicht den selben Scan durchgeführt wie von extern. Das zuletzt waren nur die wichtigsten Ports, nicht 1-65535.