[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ziel alles was nicht freigegebene oder mittels Authentifizierung (lokal DB) ins WAN möchte soll geblockt werden.
"Webproxy" (meinst Du squid?) abschalten, zwei vlans aufsetzen, eines davon nicht nach draussen lassen ausser auf bestimmte Firewall aliases und das andere frei nach draussen lassen aber nur nach Authentifizierung über FreeRadius schiene mir eine Möglichkeit, wie es funktionieren könnte.

Vermutlich schiesst Du aber mit Atomraketen auf einen eingebildeten Schwarm Spatzen ...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
"Webproxy" (meinst Du squid?) abschalten, zwei vlans aufsetzen, eines davon nicht nach draussen lassen ausser auf bestimmte Firewall aliases und das andere frei nach draussen lassen aber nur nach Authentifizierung über FreeRadius schiene mir eine Möglichkeit, wie es funktionieren könnte.
Ja das ist squid. Warum sollte ich kein squid benutzen? Mit dem und ein Paar Firewall Regeln habe ich eigentlich schon fast alles am Laufen. Nur das Erstellen von funktionsfähigen aliases für *.domain.de Domains klappt nicht. Das war vor gut 10 Jahren schon mit einer Cisco ASA möglich…

Vermutlich schiesst Du aber mit Atomraketen auf einen eingebildeten Schwarm Spatzen ...
Der ist gut. :haha:

Gefühlt kümmert sich so gut wie niemand um den ausgehenden Datenverkehr. Dabei werden z.B. viele der Verschlüsselungsgeschichten nachgeladen. Wenn jetzt Excel, Powershell, Java usw. nicht mehr ohne Anmeldung raus kommen habe ich dadurch einen Sicherheitsgewinn. Und das unabhängig davon ob es eine Sicherheitslücke in der Anwendung gibt oder nicht. Das Arbeiten wird dadurch gelegentlich umständlicher. Aber Sicherheit ist nun mal unbequem. Das Auto oder die Wohnung müssen wir ja auch abschließen. Wäre doch cool wenn das nicht notwendig wäre. Nie mehr den Schlüssel verlegen, vergessen oder verlieren…
 
Für Abschließen gibts ja auch die Möglichkeit, den RFID-Chip unter die Haut zu implantieren, damit verlierst Du den Schlüssel auch eher nicht mehr...
Ob das damit mehr Sicherheit bietet? - und wer sagt, das Excel selber der Prozess ist, der die Daten nachlädt? - gerade das machen die Dinger ja so perfide gut, das eben das OS es nicht merkt und damit ggf. auch nicht die FW - je nachdem ob der Proxy auch eine Applikationserkennung drin hat.
Sinnvoller finde ich es hier, konsequent die Botnetze zu blockieren - dazu gibt es ja auch genügend Filter.
 
Ob das damit mehr Sicherheit bietet? - und wer sagt, das Excel selber der Prozess ist, der die Daten nachlädt?
Genau da kommt die Proxy Anmeldung ins Spiel. Die Anwendung muss sich erst authentifizieren, bevor sie rauskommt. Die Zugangsdaten werden selbstverständlich nicht gespeichert. Wenn du im MS Browser die Proxy Anmeldung speicherst kommen diverse Anwendungen dadurch automatisch auch raus…

Sinnvoller finde ich es hier, konsequent die Botnetze zu blockieren - dazu gibt es ja auch genügend Filter.
Wie aktuell sind den diese blocklisten der Botnetze? Zum Beispiel die verdächtigen Mailanhänge erkennen in der Regel maximal 4 Scanner bei Virustotal. Meistens sende ich die Dateien als verdächtig zu einigen Hersteller. Zu 99% werden die Dateien innerhalb eines Tages dann auch von diesen erkannt. Daher wage ich zu bezweifeln das die Blocklisten aktuell genug sind. Als zusätzlicher Schutz ist das aber sicherlich gut. Muss ich mir demnächst mal anschauen. Danke für den Tipp.

Hast du für mein eigentliches Problem „ *.domains „ evtl. auch noch einen Tipp?
 
ich find die ganz ok.

hast Du es mal nur mit Punkt Domain probiert, also ohne Stern?
ansonsten, ne, ich hab das selber in meiner Sense noch nicht probiert.

Ich nutze diese Liste https://feodotracker.abuse.ch/browse
Mit Punkt klappt leider auch nicht. Danke für den link.

Ist halt eher ein Feature für das Firmenumfeld und wird hier vermutlich niemand was zu sagen können.
Das fürchte ich auch. Naja mal sehen ob ich noch etwas finde.
 
Ich habe in meinem Heimnetzwerk zwei Core switches (MikroTik CRS309 und CRS317) auf die alle anderen Switches jeweils verbunden sind.

Da MikroTik öfter updates raus bringt und man immer zwei mal neu starten muss führt so ein update cycle zu ein wenig downtime.

Ich habe probiert im OPNsense nun eine bridge zu erstellen in die ich zwei interfaces eingefügt habe, eins für jeden core switch um diese downtimes zu minimieren. (beim core swtich upgrade gäbe es dann potentiell schon mal keinen downtime mehr)

Ein wenig googeln hat mich dazu geführt, dass ich wohl RSTP aktivieren muss im OPNsense, was ich dann getan habe um loops zu vermeiden.

Wenn ich nun aber beide Switches anstecke geht nichts mehr.

Ich verwende noch diverse vlans, diese habe ich auf eines der zwei interfaces zugewiesen. Wenn ich sie direkt auf die bridge tue geht nichts mehr.

Hat hier jemand eine Idee?
 
Die 2 Core-Switches sind ja kein virtuelles Switch, sondern weiterhin 2 physische Switche - also bringt Dir die Bridge nichts, weil auf der anderen Seite auch keine Bridge steht.
Aruba nennt das vsf (Virtual Switching Framework) -> https://www.sievers.it/virtual-switching-framework/

Im Prinzip müsstest Du vor dem Update ja den "Master"-Core definieren, damit der Rest das nicht mitbekommt.

Was ist denn die Zielsetzung?
 
Mein Ziel wäre einen Failover hinzubekommen von einem Switch zum anderen.

Wenn Switch a neu startet geht alles über Switch b
Wenn dann Switch b neu startet geht alles über Switch a

Alle anderen Switches sind auf Switch a und Switch b angeschlossen mit RSTP aktiv.

Meine Idee wäre, dass ich das am einfachsten hinbekommen könnte wenn die OPNsense mit Switch a und Switch b verbunden ist.
 
Warum?
Wäre es nicht einfach, für alles dahinter, wenn auch die Sense an einem "Access-Switch" hängt?
Dann wäre ja primär egal, welcher Core bootet...

Hier @work z.B. habe ich 2 Aruba 3810SPF als Direkten Cluster laufen - die Ports A1 und B1 sind jeweils ein LACP-Link zu den angeschlossenen Access-Switches.

am 48er hängt der Firewall-Cluster - einen Single-Point-of-Failure hat man immer. - Wenn es nicht der Medienwandler ist, dann eben der Router, die Firewall, etc...

Natürlich könnte ich jetzt auch einen 2ten 48er dort noch hinhängen und an jeden eine Firewall, am Ende wird mir das auch nicht viel bringen - Es gibt vom Medienwandler 1 Link - entweder ist der im einen Switch, oder im anderen...
 
Du kannst LACP verwenden weil die zwei Switches als cluster laufen, bei zwei separaten Switches komme ich mit LACP wohl nicht weiter.
Ich vermute wenn ich einen simplen Switch als Access Switch verwende würde ich mir wohl ein loop bauen.

Ich bin mit RSTP nicht 100% fit, kann ich das Loop mit Kosten für den pfad an den zwei Core Switches abfedern?

Oder habe ich einen Denkfehler?

Klar alle Szenarien kann ich nicht abfedern, aber das mit dem Upgraden kommt bei MikroTik halt öfters mal vor.
Beitrag automatisch zusammengeführt:

Ich habs grade probiert mit einem "Switch" es klappt sogar. Vielen dank für die Inspiration.
 
Zuletzt bearbeitet:
Du kannst LACP verwenden weil die zwei Switches als cluster laufen, bei zwei separaten Switches komme ich mit LACP wohl nicht weiter.
Ich vermute wenn ich einen simplen Switch als Access Switch verwende würde ich mir wohl ein loop bauen.

Ich bin mit RSTP nicht 100% fit, kann ich das Loop mit Kosten für den pfad an den zwei Core Switches abfedern?

Oder habe ich einen Denkfehler?

Klar alle Szenarien kann ich nicht abfedern, aber das mit dem Upgraden kommt bei MikroTik halt öfters mal vor.
Beitrag automatisch zusammengeführt:

Ich habs grade probiert mit einem "Switch" es klappt sogar. Vielen dank für die Inspiration.
Pfadkosten haben mit der Erkennung des Loops nix zu tun.

Stell dein Netz auf dynamisches Routing um und du könntest die Probleme einfach lösen.

Zeichne mal ein Bildchen was du vor hast, insbesondere welche VLANs auf welche Kopplung getrunkt sind. Dafür würde man eher MSTP mit mehreren Instanzen je VLAN nutzen.
 
Ich hab mal eine Zeichnung gemacht vom aktuellen Stand
Handwritten_2021-12-20_162032.jpg
 
@x6:
Warum willst du Subdomains blocken?
Wenn du nen Anhang hast, der was nachladen will, wird der sich eher *nicht* auf DNS verlassen, sonden den C&C über dessen IP anpingen.
Und nu?
Ansonsten sehts doch schon in der Hilfe der OPNsense drin:
1640194099224.png
 
Uhh das ist lecker, und der Preis für Netgate HW sogar angemessen:
 
Was ist eigentlich aus PFSense Plus geworden? Irgendwie (gott sei Dank) ziemlich versickert oder?
 
Moin,
ich versuche nun schon seit ettlichen Tagen mein Telefon dazu zu bewegen, auch nach draußen telefonieren zu können. Das ganze hängt an ner Fritte die HINTER der pfSense als IP-Client hängt.

Der Aufbau sieht folgendermaßen aus: Speedport W925V im Bridge Mode als Modem ----> pfsense als Router ----> Fritzbox 7590 als IP Client und unter Rufnummer als Magenta Zuhause eingestellt... Telefonieprüfung wird auch erfolgreich von der Fritte abgeschlossen. Es funktioniert alles bis hin zum Mesh und ich kann auch Problemlos von Außerhalb aufs Festnetz anrufen nur umgekehrt leider bisher kein Erfolg. Es ertönt immer diese 3 malige Signal wie bei "Kein Anschluss unter dieser Nummer" Ich habe alles mögliche an konfigurationen ausprobiert, habe zig tutorials aus dem Netz und diversen Foren versucht... Kein Erfolg und mich beschleicht das Gefühl, als gäbe es bei nem Regio-Anschluss irgend ne Sonderlocke zu bachten die in den Tutorials für die normalen Telekom-Anschlüsse nicht notwendig ist. Also, falls einer von Euch Schergen ne ähnliche Kombi erfolgreich laufen hat, mal bitte die Lösung mit Screenshots posten :-)

EDIT: Ich schmeiß den Kram gleich aus dem Fenster und werde zukünftig als Tischler arbeiten anstatt "irgendwas mit IT"... ich habe die Lösung falls nochmals jemand auf das Problem trifft:

In der Fritzbox unter TELEFONIE ---> Eigene Rufnummern ---> Anschlusseinstellungen darf KEINE Ortsvorwahl stehen. Diese wird ansonsten bei jedem ausgehenden Anruf vor die eigentliche Nummer gesetzt und dann gehts natürlich nicht. Schön, dass die Fritzbox aber genau den Eintrag nach dem hinzufügen der Rufnummer automatisch setzt :grrr:
:fresse2::wall:
 
Zuletzt bearbeitet:
Wenn man die Fritzbox wieder Standalone am DSL-Anschluss betreibt, ist es egal ob dort die Vorwahl angegeben ist oder nicht, der Anruf geht immer raus. Mehrfach getestet, auch mit ner frischen, zurückgesetzten Firmware. Betreibe ich sie als IP-Client hinter ner *sense, obiges Verhalten. Firmware 7.29. Ich werde mich mal mit AVM in Verbindung setzen.
 
Opnsense 22.1 veröffentlicht.

Update (auf 21.7.8 und dann weiter auf 22.1) ging bei mir problemlos. Hatte aber vorher auch zfs snapshots und einen Checkpoint angelegt zur Sicherheit.
 
Lief bei mir auch problemlos durch. Hyper-V Nutzer sollten aber wohl noch warten: https://twitter.com/opnsense/status/1486976769819353088

Für mich bisher geilste Neuerung: Unterstützung von dynamic IPv6 Hosts als Alias: https://docs.opnsense.org/manual/aliases.html#dynamic-ipv6-host
Ehrlichgesagt fehlte das schon in pf/OPNSense seit Anbeginn. Aber Zeit ist geduldig und die meisten Entwickler und User hatten oft vor 5-6 Jahren nichtmal IPv6 oder nutzten Tunnelbroker für den Zugang.

Ich teste mal ob das auch für Framed-IPv6-Routes znd 6in4 Tunnel funktioniert…
 
Hat einer von Euch zufällig einen oder mehrere Cisco Aironet 270x APs laufen und kann deren beschissene Reichweite bestätigen? Habe mehrere davon für umme bekommen, schön als Standalone-Geräte geflasht und bin erschrocken wie gering die Reichweite verglichen mit meiner FB 7590 ist. Sendeleistung ist natürlich auf Anschlag. Wollte eigentlich mein Haus mit den Dingern dichtpflastern um mal von der Fritte weg zu kommen und die Ciscos hinter die *sense zu klemmen.
:fresse:
 
Zuletzt bearbeitet:
pfSense hat schon etwas ähnliches, wobei das glaube ich kein richtiger Alias ist und daher nicht ganz mit der o.g. Lösung mithalten kann. Was aber schon seit längerem geht, ist die Vergabe des Hosts-Parts mittels DHCPv6, dann brauch man sich da auch keine Gedanken mehr machen.

Womit pfSense wiederum Probleme hat ist, wenn die Fritzbox als Router davor den Prefix wechselt, das bekommt die Sense dann leider nicht mit. 👺

Naja…bis das in pfSense kommt dauert noch. Währenddessen bekommt man das problemlos auf RouterOS abgebildet:
 
Nach dem Update lief auf meiner ZBox erstmal alles gut. Seit heute morgen stürzt scheinbar unregelmäßig alles ab. Nix mehr erreichbar. Nur Neustart hilft. Jemand mit ähnlichen Problemen?
 
ZBox klingt nach realtek - da ist 22.1 auf den Stock FreeBSD Treiber zurück. Neueren Treiber per plugin installiert?
 
Wüsste gar nicht, das ich das bei dem vorherigen Release gemacht hätte. Aber ja, sind Realtek. War ka bei pfSense auch schon problematisch.
 
Die release notes sagen folgendes:
On the flip side major operating system changes bear risk for regression and feature removal, e.g. ... switching the Realtek vendor driver back to its FreeBSD counterpart which does not yet support the newer 2.5G models.
 
Stand bei mir als Warnung vor dem Update drin, dass so manche Realtek NIC nicht unterstützt wird. Daher dem Rat gefolgt und das vorher Paket installiert, da ich eine verbaut habe.
Allerdings scheint Unbound nun echt lange mit der DNS-Auflösung beschäftigt zu sein.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh