[GELÖST] IPSec Bugs

[fabian]

Destination any heißt, dass die Zieladresse nicht angeschaut wird. OPNsense hat Standardregeln im Hintergrund - die sind in erster linie dafür da, damit man nicht aus versehen was kaputt macht (zum Beispiel die Erlaubnis von den erforderlichen ICMPv6-Paketen etc.) Für Services gibt es hooks aber die werden erst nach einem Reload aktiv.

[monstermania]

Ich hab nicht den ganze Thread gelesen...

Der Inhalt ist gar nicht soo wichtig. Wichtiger ist, dass dort von durchaus kompetenten Leuten vom Einsatz der OPNsense abgeraten wird.
Zitat:"Nee, anderes Fazit: Nimm immer pfSense dann ersparst du dir solche Kinkerlitzchen. Die Firmware scheint noch ziemlich buggy zu sein. Andere Filter Optionen funktionieren da auch schlecht bis gar nicht."

Mit Firmware ist in den Fall OPNsense gemeint. 

 

[JeGr]

> Mit Firmware ist in den Fall OPNsense gemeint. 

Was sowohl OPNsense als auf pfSense gemeinsam so in ihren Menüs nennen, also schon korrekt benannt ist

Zum Rest mag ich mich gar nicht äußern, das wird nur wieder falsch ausgelegt. Wenn ich die letzten Tage aber von meinen Testsystemen betrachte kann ich das zumindest teilweise bestätigen. Was ich durchaus schade finde.

[franco]

Jetzt mal ganz ehrlich: Warum einen negativen Thread posten um die eigene Meinung zu pushen? Es ist das Internet: man findet über alles was positives wenn man nur lang genug sucht...

Die Luft ist jetzt eindeutig raus aus dem Thread trotz bringha und stefan21, die hier offen diskutieren wollten.

JeGr und monstermania: Wer von euch sieht das auch so, wer nicht? Wer ist bereit sachlich zu diskutieren?

Ich finde langfristig nimmt die Community schaden wenn hier so mit negativer Konnotation argumentiert, geholfen und oder mit den Augen gerollt wird. Und das in einem Thread in dem 1 Problem gefixt wurde und ein anderes erklärt wurde.

[franco]

Es würde mich interessieren, wer bei dem Einsatz einer OPNsense bislang einen Einbruch in ein System vermelden kann, der nicht auf einen unvorsichtigen USER/mangelhafte Konfiguration der Firewall/Dienste zurückzufüren ist.

Die Frage ist kaum bis gar nicht zu beantworten, im Ernstfall ist es aber ein fatales Problem... Updates helfen dabei, aber bringen auch neue Fehler mit sich. Manchmal beheben sie auch kritische unbekannte Fehler älterer Versionen, weil der Code neu geschrieben wird.

Mit HardenedBSD-Extras sind wir nicht von Grund auf unsicherer mit älteren Versionen, weil gewisse Attacken schwieriger werden durch Randomisierung, Stack-Erweiterungen, usw.

Jedoch das Risiko einzugehen nicht zu updaten ist meiner Einschätzung nach Unsinnig solang die Funktionalität nicht beeinträchtigt wird. Ich glaub darum ging es hier im Kern, und dazu führte dann die These, dass man beides haben sollte und dass wir uns da eigentlich einig sind, aber eben die letzten % fehlen.

Wie wir diese letzten % erreichen, ist weiter nicht hinreichend geklärt.

Diese Frage stellt sich mir deshalb weil ich gerne ein Gefühl dafür hätte, was zwischen dem letzten Release, und sich aus Zwängen des praktischen Einsatzes ergibt/ergeben hat.

Praktisch ist der UEFI-Support nun stark verbessert und die Treiber sind aktueller. Das fördert die Kompatibilität mit (neuerer) Hardware. Die Rate der Installationsfragen zu Hardware ist seit 17.1.4 merklich gesunken. Und ja, viele brennen USB Sticks vom ISO, aber das geht nicht. Und ja, viele haben USB Sticks die sich mit Windows nicht schreiben lassen, aber das ist nicht zu verhindern wenn die fixe Byte-Sequenz unserer Images nicht 1:1 wiedergegeben wird auf den Stick, aus welchen Gründen auch immer.

Anderst ausgedrückt, hätte mit dem letzten Release tatsächlich ein Einbruch (so denn stattgefunden) vermieden werden können? Und gibt es tatsächlich Kundenanforderungen/Hardwareneuerungen die explizit die Features des letzten Major-Releases, *NACH* der Antwort auf die vorhergehende Frage, einfordern?

Ersteres ist nicht eindeutlich nachweisbar. Statistisch ist die Chance niedriger, dass sich Sicherheitslücken in neuerem Code schneller als Zero-Days exploiten lassen, da man ja Zeit braucht diese zu analysieren/finden. Das mehr an Hardware-Unterstützung ist denke ich erstrebenswert.

Wir reden hier sehr stark über das Betriebssystem, gerade nicht den GUI Code oder die Integration von Third-Party-Software. Dass es hier Defizite gibt ist mir klar, und es ist auch offensichtlich, dass wir keinen echten FreeBSD-Entwickler haben. Ich denke eine Änderung hier wäre wünschenswert. Ob es "die" Lösung ist kann man nicht sagen.


Grüsse
Franco

[monstermania]

@Franco
Für mich persönlich war der Umstieg auf die 17.1.4ff (32Bit Nano) ein echter Rückschritt in Sachen Stabilität. Ich habe 5 Monate lang die 16.7.x zu Hause genutzt. Lief absolut problemlos und stabil!
Ich habe extra noch etwas mit der Umstellung auf die 17.1 gewartet und habe daher erst im April direkt auf die 17.1.4 umgestellt.
Seit der Umstellung habe ich wiederholt das Symptom, dass plötzlich mein WLAN keine Authentifizierung mehr zulässt. Sprich meine Devices fliegen alle aus dem WLAN. SSID ist weiterhin da, aber es kann keine Verbindung mehr hergestellt werden (Gäste WLAN funktioniert aber weiterhin!).
Ich versuche gerade herauszufinden, ob sich das irgendwie reproduzieren lässt, aber kann bisher noch keine Regelmäßigkeit entdecken.
Gerade gestern abend wieder. Vormittags Update auf die 17.1.7 per VPN-Einwahl durchgeführt (sauber durchgelaufen incl. Reboot). Sitze abends am Tablet -> nach ca. 20-30 Min. plötzlich wieder das WLAN weg! Da ich dann einfach keine Lust habe die Firewall unter dem Schuhschrank herauszukramen um an die LAN-Schnittstelle zu kommen wird eben der Stecker gezogen damit das Teil wieder läuft. 
Davor lief das Teil aber einige Tage absolut problemlos sauber durch!

Bin echt schon am überlegen wieder die 16.7'er CF-Karte in die FW einzubauen. Allein schon um sicherzugehen, ob es sich tatsächlich um ein Problem handelt , dass sich auf die 17.1'er eingrenzen lässt.
Klar, ist wieder nur ein Einzelfall. Aber wenn man davon selbst betroffen ist nervt es halt!

Gruß
Dirk

[JeGr]

> JeGr und monstermania: Wer von euch sieht das auch so, wer nicht? Wer ist bereit sachlich zu diskutieren?

Diskutieren wir unsachlich? War mir zumindest bislang nicht bewusst. Finde ich eher unsachlich, das zu unterstellen.

> Jetzt mal ganz ehrlich: Warum einen negativen Thread posten um die eigene Meinung zu pushen?

Ich zumindest habe nur meine Meinung bzw. eine Idee/Anfrage mit eingebracht. Nämlich ggf. einmal über das Release und Versionsmodell nachzudenken, ob das der aktuellen Entwicklung, Gegebenheiten (wenig Testcases aus der Community über die ihr euch beklagt) und anderen Dingen wie genereller Stabilität etc. genüge tut. Wenn das gleich als Generalangriff gesehen oder gewertet wird, muss ich mich eher wundern. Natürlich ist das Kritik, aber keine bei der (zumindest ich mich nicht) hinstelle und trotzig mit dem Fuß aufstampfend verkünde, dass ich aber ein Eis will. Ich habe lediglich meine Bedenken geäußert. Wenn man/du die ignorieren willst oder als Angriff/Gretchenfrage/whatever abtun willst, dann sei es das. Finde ich aber ebenso bezeichnend, als das Thema gezielt zu Dirk oder mir zurückzuschieben, als würden wir hier Schiffe versenken spielen wollen.

Und wenn man nicht mal mehr im Spaß die Augen rollen darf, sollte man sie vielleicht gleich ganz zu machen... Gleich in die Defensive zu gehen und aus der Opferrolle heraus zu agieren steht euch nicht. Und dem Projekt ebenso nicht. Es gibt aus der von euch so vielgepriesenen offenen Community wie man lesen kann eben durchaus Bedenken und Äußerungen wie meine, die man sich mal einfach durch den Kopf gehen lassen sollte ohne sich gleich salty einzurollen. Und damit lass ichs hier auch gut sein.

BTW wenn dir das mit dem Thread nicht gefällt - was ich als Mod durchaus nachvollziehen kann! - warum nicht einfach den Diskussionsteil hiervon abspalten und mit eigenem Namen weiterführen? Hätte die ganze Zeit schon passieren können. *schulterzuck*

[mimugmail]

@Franco
Für mich persönlich war der Umstieg auf die 17.1.4ff (32Bit Nano) ein echter Rückschritt in Sachen Stabilität. Ich habe 5 Monate lang die 16.7.x zu Hause genutzt. Lief absolut problemlos und stabil!
Ich habe extra noch etwas mit der Umstellung auf die 17.1 gewartet und habe daher erst im April direkt auf die 17.1.4 umgestellt.
Seit der Umstellung habe ich wiederholt das Symptom, dass plötzlich mein WLAN keine Authentifizierung mehr zulässt. Sprich meine Devices fliegen alle aus dem WLAN. SSID ist weiterhin da, aber es kann keine Verbindung mehr hergestellt werden (Gäste WLAN funktioniert aber weiterhin!).
Ich versuche gerade herauszufinden, ob sich das irgendwie reproduzieren lässt, aber kann bisher noch keine Regelmäßigkeit entdecken.
Gerade gestern abend wieder. Vormittags Update auf die 17.1.7 per VPN-Einwahl durchgeführt (sauber durchgelaufen incl. Reboot). Sitze abends am Tablet -> nach ca. 20-30 Min. plötzlich wieder das WLAN weg! Da ich dann einfach keine Lust habe die Firewall unter dem Schuhschrank herauszukramen um an die LAN-Schnittstelle zu kommen wird eben der Stecker gezogen damit das Teil wieder läuft. 
Davor lief das Teil aber einige Tage absolut problemlos sauber durch!

Bin echt schon am überlegen wieder die 16.7'er CF-Karte in die FW einzubauen. Allein schon um sicherzugehen, ob es sich tatsächlich um ein Problem handelt , dass sich auf die 17.1'er eingrenzen lässt.
Klar, ist wieder nur ein Einzelfall. Aber wenn man davon selbst betroffen ist nervt es halt!

Gruß
Dirk

Hast du schon nach dem WLAN Adapter/Treiber und Problemen mit der neuen FreeBSD gegoogelt? Wenn da kein Ergebnis kommt mach am besten einen neue Thread auf, da können sich Leute die das gleiche Problem haben anschließen und man kommt eventuell schneller auf eine Lösung.