*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
"Webproxy" (meinst Du squid?) abschalten, zwei vlans aufsetzen, eines davon nicht nach draussen lassen ausser auf bestimmte Firewall aliases und das andere frei nach draussen lassen aber nur nach Authentifizierung über FreeRadius schiene mir eine Möglichkeit, wie es funktionieren könnte.
Vermutlich schiesst Du aber mit Atomraketen auf einen eingebildeten Schwarm Spatzen ...
Ja das ist squid. Warum sollte ich kein squid benutzen? Mit dem und ein Paar Firewall Regeln habe ich eigentlich schon fast alles am Laufen. Nur das Erstellen von funktionsfähigen aliases für *.domain.de Domains klappt nicht. Das war vor gut 10 Jahren schon mit einer Cisco ASA möglich…
Der ist gut.
Gefühlt kümmert sich so gut wie niemand um den ausgehenden Datenverkehr. Dabei werden z.B. viele der Verschlüsselungsgeschichten nachgeladen. Wenn jetzt Excel, Powershell, Java usw. nicht mehr ohne Anmeldung raus kommen habe ich dadurch einen Sicherheitsgewinn. Und das unabhängig davon ob es eine Sicherheitslücke in der Anwendung gibt oder nicht. Das Arbeiten wird dadurch gelegentlich umständlicher. Aber Sicherheit ist nun mal unbequem. Das Auto oder die Wohnung müssen wir ja auch abschließen. Wäre doch cool wenn das nicht notwendig wäre. Nie mehr den Schlüssel verlegen, vergessen oder verlieren…
konfetti
Urgestein
Für Abschließen gibts ja auch die Möglichkeit, den RFID-Chip unter die Haut zu implantieren, damit verlierst Du den Schlüssel auch eher nicht mehr...
Ob das damit mehr Sicherheit bietet? - und wer sagt, das Excel selber der Prozess ist, der die Daten nachlädt? - gerade das machen die Dinger ja so perfide gut, das eben das OS es nicht merkt und damit ggf. auch nicht die FW - je nachdem ob der Proxy auch eine Applikationserkennung drin hat.
Sinnvoller finde ich es hier, konsequent die Botnetze zu blockieren - dazu gibt es ja auch genügend Filter.
Ob das damit mehr Sicherheit bietet? - und wer sagt, das Excel selber der Prozess ist, der die Daten nachlädt? - gerade das machen die Dinger ja so perfide gut, das eben das OS es nicht merkt und damit ggf. auch nicht die FW - je nachdem ob der Proxy auch eine Applikationserkennung drin hat.
Sinnvoller finde ich es hier, konsequent die Botnetze zu blockieren - dazu gibt es ja auch genügend Filter.
Genau da kommt die Proxy Anmeldung ins Spiel. Die Anwendung muss sich erst authentifizieren, bevor sie rauskommt. Die Zugangsdaten werden selbstverständlich nicht gespeichert. Wenn du im MS Browser die Proxy Anmeldung speicherst kommen diverse Anwendungen dadurch automatisch auch raus…
Wie aktuell sind den diese blocklisten der Botnetze? Zum Beispiel die verdächtigen Mailanhänge erkennen in der Regel maximal 4 Scanner bei Virustotal. Meistens sende ich die Dateien als verdächtig zu einigen Hersteller. Zu 99% werden die Dateien innerhalb eines Tages dann auch von diesen erkannt. Daher wage ich zu bezweifeln das die Blocklisten aktuell genug sind. Als zusätzlicher Schutz ist das aber sicherlich gut. Muss ich mir demnächst mal anschauen. Danke für den Tipp.
Hast du für mein eigentliches Problem „ *.domains „ evtl. auch noch einen Tipp?
konfetti
Urgestein
ich find die ganz ok.
hast Du es mal nur mit Punkt Domain probiert, also ohne Stern?
ansonsten, ne, ich hab das selber in meiner Sense noch nicht probiert.
Ich nutze diese Liste https://feodotracker.abuse.ch/browse
hast Du es mal nur mit Punkt Domain probiert, also ohne Stern?
ansonsten, ne, ich hab das selber in meiner Sense noch nicht probiert.
Ich nutze diese Liste https://feodotracker.abuse.ch/browse
Mit Punkt klappt leider auch nicht. Danke für den link.
Das fürchte ich auch. Naja mal sehen ob ich noch etwas finde.
Ich habe in meinem Heimnetzwerk zwei Core switches (MikroTik CRS309 und CRS317) auf die alle anderen Switches jeweils verbunden sind.
Da MikroTik öfter updates raus bringt und man immer zwei mal neu starten muss führt so ein update cycle zu ein wenig downtime.
Ich habe probiert im OPNsense nun eine bridge zu erstellen in die ich zwei interfaces eingefügt habe, eins für jeden core switch um diese downtimes zu minimieren. (beim core swtich upgrade gäbe es dann potentiell schon mal keinen downtime mehr)
Ein wenig googeln hat mich dazu geführt, dass ich wohl RSTP aktivieren muss im OPNsense, was ich dann getan habe um loops zu vermeiden.
Wenn ich nun aber beide Switches anstecke geht nichts mehr.
Ich verwende noch diverse vlans, diese habe ich auf eines der zwei interfaces zugewiesen. Wenn ich sie direkt auf die bridge tue geht nichts mehr.
Hat hier jemand eine Idee?
Da MikroTik öfter updates raus bringt und man immer zwei mal neu starten muss führt so ein update cycle zu ein wenig downtime.
Ich habe probiert im OPNsense nun eine bridge zu erstellen in die ich zwei interfaces eingefügt habe, eins für jeden core switch um diese downtimes zu minimieren. (beim core swtich upgrade gäbe es dann potentiell schon mal keinen downtime mehr)
Ein wenig googeln hat mich dazu geführt, dass ich wohl RSTP aktivieren muss im OPNsense, was ich dann getan habe um loops zu vermeiden.
Wenn ich nun aber beide Switches anstecke geht nichts mehr.
Ich verwende noch diverse vlans, diese habe ich auf eines der zwei interfaces zugewiesen. Wenn ich sie direkt auf die bridge tue geht nichts mehr.
Hat hier jemand eine Idee?
konfetti
Urgestein
Die 2 Core-Switches sind ja kein virtuelles Switch, sondern weiterhin 2 physische Switche - also bringt Dir die Bridge nichts, weil auf der anderen Seite auch keine Bridge steht.
Aruba nennt das vsf (Virtual Switching Framework) -> https://www.sievers.it/virtual-switching-framework/
Im Prinzip müsstest Du vor dem Update ja den "Master"-Core definieren, damit der Rest das nicht mitbekommt.
Was ist denn die Zielsetzung?
Aruba nennt das vsf (Virtual Switching Framework) -> https://www.sievers.it/virtual-switching-framework/
Im Prinzip müsstest Du vor dem Update ja den "Master"-Core definieren, damit der Rest das nicht mitbekommt.
Was ist denn die Zielsetzung?
Mein Ziel wäre einen Failover hinzubekommen von einem Switch zum anderen.
Wenn Switch a neu startet geht alles über Switch b
Wenn dann Switch b neu startet geht alles über Switch a
Alle anderen Switches sind auf Switch a und Switch b angeschlossen mit RSTP aktiv.
Meine Idee wäre, dass ich das am einfachsten hinbekommen könnte wenn die OPNsense mit Switch a und Switch b verbunden ist.
Wenn Switch a neu startet geht alles über Switch b
Wenn dann Switch b neu startet geht alles über Switch a
Alle anderen Switches sind auf Switch a und Switch b angeschlossen mit RSTP aktiv.
Meine Idee wäre, dass ich das am einfachsten hinbekommen könnte wenn die OPNsense mit Switch a und Switch b verbunden ist.
konfetti
Urgestein
Warum?
Wäre es nicht einfach, für alles dahinter, wenn auch die Sense an einem "Access-Switch" hängt?
Dann wäre ja primär egal, welcher Core bootet...
Hier @work z.B. habe ich 2 Aruba 3810SPF als Direkten Cluster laufen - die Ports A1 und B1 sind jeweils ein LACP-Link zu den angeschlossenen Access-Switches.
am 48er hängt der Firewall-Cluster - einen Single-Point-of-Failure hat man immer. - Wenn es nicht der Medienwandler ist, dann eben der Router, die Firewall, etc...
Natürlich könnte ich jetzt auch einen 2ten 48er dort noch hinhängen und an jeden eine Firewall, am Ende wird mir das auch nicht viel bringen - Es gibt vom Medienwandler 1 Link - entweder ist der im einen Switch, oder im anderen...
Wäre es nicht einfach, für alles dahinter, wenn auch die Sense an einem "Access-Switch" hängt?
Dann wäre ja primär egal, welcher Core bootet...
Hier @work z.B. habe ich 2 Aruba 3810SPF als Direkten Cluster laufen - die Ports A1 und B1 sind jeweils ein LACP-Link zu den angeschlossenen Access-Switches.
am 48er hängt der Firewall-Cluster - einen Single-Point-of-Failure hat man immer. - Wenn es nicht der Medienwandler ist, dann eben der Router, die Firewall, etc...
Natürlich könnte ich jetzt auch einen 2ten 48er dort noch hinhängen und an jeden eine Firewall, am Ende wird mir das auch nicht viel bringen - Es gibt vom Medienwandler 1 Link - entweder ist der im einen Switch, oder im anderen...
Du kannst LACP verwenden weil die zwei Switches als cluster laufen, bei zwei separaten Switches komme ich mit LACP wohl nicht weiter.
Ich vermute wenn ich einen simplen Switch als Access Switch verwende würde ich mir wohl ein loop bauen.
Ich bin mit RSTP nicht 100% fit, kann ich das Loop mit Kosten für den pfad an den zwei Core Switches abfedern?
Oder habe ich einen Denkfehler?
Klar alle Szenarien kann ich nicht abfedern, aber das mit dem Upgraden kommt bei MikroTik halt öfters mal vor.
Ich habs grade probiert mit einem "Switch" es klappt sogar. Vielen dank für die Inspiration.
Ich vermute wenn ich einen simplen Switch als Access Switch verwende würde ich mir wohl ein loop bauen.
Ich bin mit RSTP nicht 100% fit, kann ich das Loop mit Kosten für den pfad an den zwei Core Switches abfedern?
Oder habe ich einen Denkfehler?
Klar alle Szenarien kann ich nicht abfedern, aber das mit dem Upgraden kommt bei MikroTik halt öfters mal vor.
Beitrag automatisch zusammengeführt:
Ich habs grade probiert mit einem "Switch" es klappt sogar. Vielen dank für die Inspiration.
Zuletzt bearbeitet:
Pfadkosten haben mit der Erkennung des Loops nix zu tun.
Stell dein Netz auf dynamisches Routing um und du könntest die Probleme einfach lösen.
Zeichne mal ein Bildchen was du vor hast, insbesondere welche VLANs auf welche Kopplung getrunkt sind. Dafür würde man eher MSTP mit mehreren Instanzen je VLAN nutzen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 849
Uhh das ist lecker, und der Preis für Netgate HW sogar angemessen:
shop.netgate.com
Netgate 6100 BASE pfSense+ Security Gateway
The Netgate® 6100 is one of the most versatile security gateways in its class. It is ideal for home, remote workers, and small businesses who require flexible port configurations for high-speed WAN and LAN connectivity. The 6100 combines the power of an Intel C3558 Quad Core CPU with integrated...
shop.netgate.com
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.148
Was ist eigentlich aus PFSense Plus geworden? Irgendwie (gott sei Dank) ziemlich versickert oder?
towatai
Enthusiast
Moin,
ich versuche nun schon seit ettlichen Tagen mein Telefon dazu zu bewegen, auch nach draußen telefonieren zu können. Das ganze hängt an ner Fritte die HINTER der pfSense als IP-Client hängt.
Der Aufbau sieht folgendermaßen aus: Speedport W925V im Bridge Mode als Modem ----> pfsense als Router ----> Fritzbox 7590 als IP Client und unter Rufnummer als Magenta Zuhause eingestellt... Telefonieprüfung wird auch erfolgreich von der Fritte abgeschlossen. Es funktioniert alles bis hin zum Mesh und ich kann auch Problemlos von Außerhalb aufs Festnetz anrufen nur umgekehrt leider bisher kein Erfolg. Es ertönt immer diese 3 malige Signal wie bei "Kein Anschluss unter dieser Nummer" Ich habe alles mögliche an konfigurationen ausprobiert, habe zig tutorials aus dem Netz und diversen Foren versucht... Kein Erfolg und mich beschleicht das Gefühl, als gäbe es bei nem Regio-Anschluss irgend ne Sonderlocke zu bachten die in den Tutorials für die normalen Telekom-Anschlüsse nicht notwendig ist. Also, falls einer von Euch Schergen ne ähnliche Kombi erfolgreich laufen hat, mal bitte die Lösung mit Screenshots posten
EDIT: Ich schmeiß den Kram gleich aus dem Fenster und werde zukünftig als Tischler arbeiten anstatt "irgendwas mit IT"... ich habe die Lösung falls nochmals jemand auf das Problem trifft:
In der Fritzbox unter TELEFONIE ---> Eigene Rufnummern ---> Anschlusseinstellungen darf KEINE Ortsvorwahl stehen. Diese wird ansonsten bei jedem ausgehenden Anruf vor die eigentliche Nummer gesetzt und dann gehts natürlich nicht. Schön, dass die Fritzbox aber genau den Eintrag nach dem hinzufügen der Rufnummer automatisch setzt
ich versuche nun schon seit ettlichen Tagen mein Telefon dazu zu bewegen, auch nach draußen telefonieren zu können. Das ganze hängt an ner Fritte die HINTER der pfSense als IP-Client hängt.
Der Aufbau sieht folgendermaßen aus: Speedport W925V im Bridge Mode als Modem ----> pfsense als Router ----> Fritzbox 7590 als IP Client und unter Rufnummer als Magenta Zuhause eingestellt... Telefonieprüfung wird auch erfolgreich von der Fritte abgeschlossen. Es funktioniert alles bis hin zum Mesh und ich kann auch Problemlos von Außerhalb aufs Festnetz anrufen nur umgekehrt leider bisher kein Erfolg. Es ertönt immer diese 3 malige Signal wie bei "Kein Anschluss unter dieser Nummer" Ich habe alles mögliche an konfigurationen ausprobiert, habe zig tutorials aus dem Netz und diversen Foren versucht... Kein Erfolg und mich beschleicht das Gefühl, als gäbe es bei nem Regio-Anschluss irgend ne Sonderlocke zu bachten die in den Tutorials für die normalen Telekom-Anschlüsse nicht notwendig ist. Also, falls einer von Euch Schergen ne ähnliche Kombi erfolgreich laufen hat, mal bitte die Lösung mit Screenshots posten
EDIT: Ich schmeiß den Kram gleich aus dem Fenster und werde zukünftig als Tischler arbeiten anstatt "irgendwas mit IT"... ich habe die Lösung falls nochmals jemand auf das Problem trifft:
In der Fritzbox unter TELEFONIE ---> Eigene Rufnummern ---> Anschlusseinstellungen darf KEINE Ortsvorwahl stehen. Diese wird ansonsten bei jedem ausgehenden Anruf vor die eigentliche Nummer gesetzt und dann gehts natürlich nicht. Schön, dass die Fritzbox aber genau den Eintrag nach dem hinzufügen der Rufnummer automatisch setzt
Zuletzt bearbeitet:
towatai
Enthusiast
Wenn man die Fritzbox wieder Standalone am DSL-Anschluss betreibt, ist es egal ob dort die Vorwahl angegeben ist oder nicht, der Anruf geht immer raus. Mehrfach getestet, auch mit ner frischen, zurückgesetzten Firmware. Betreibe ich sie als IP-Client hinter ner *sense, obiges Verhalten. Firmware 7.29. Ich werde mich mal mit AVM in Verbindung setzen.
Lief bei mir auch problemlos durch. Hyper-V Nutzer sollten aber wohl noch warten: https://twitter.com/opnsense/status/1486976769819353088
Für mich bisher geilste Neuerung: Unterstützung von dynamic IPv6 Hosts als Alias: https://docs.opnsense.org/manual/aliases.html#dynamic-ipv6-host
Für mich bisher geilste Neuerung: Unterstützung von dynamic IPv6 Hosts als Alias: https://docs.opnsense.org/manual/aliases.html#dynamic-ipv6-host
Ehrlichgesagt fehlte das schon in pf/OPNSense seit Anbeginn. Aber Zeit ist geduldig und die meisten Entwickler und User hatten oft vor 5-6 Jahren nichtmal IPv6 oder nutzten Tunnelbroker für den Zugang.
Ich teste mal ob das auch für Framed-IPv6-Routes znd 6in4 Tunnel funktioniert…
towatai
Enthusiast
Hat einer von Euch zufällig einen oder mehrere Cisco Aironet 270x APs laufen und kann deren beschissene Reichweite bestätigen? Habe mehrere davon für umme bekommen, schön als Standalone-Geräte geflasht und bin erschrocken wie gering die Reichweite verglichen mit meiner FB 7590 ist. Sendeleistung ist natürlich auf Anschlag. Wollte eigentlich mein Haus mit den Dingern dichtpflastern um mal von der Fritte weg zu kommen und die Ciscos hinter die *sense zu klemmen.
Zuletzt bearbeitet:
Feature #12190: Ability to use an IPv6 prefix in firewall rules - pfSense - pfSense bugtracker
Redmine
Naja…bis das in pfSense kommt dauert noch. Währenddessen bekommt man das problemlos auf RouterOS abgebildet:
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 887
Nach dem Update lief auf meiner ZBox erstmal alles gut. Seit heute morgen stürzt scheinbar unregelmäßig alles ab. Nix mehr erreichbar. Nur Neustart hilft. Jemand mit ähnlichen Problemen?
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 887
Wüsste gar nicht, das ich das bei dem vorherigen Release gemacht hätte. Aber ja, sind Realtek. War ka bei pfSense auch schon problematisch.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 887
Hab das Addon installiert. Könnte tatsächlich dran gelegen haben.
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.410
Stand bei mir als Warnung vor dem Update drin, dass so manche Realtek NIC nicht unterstützt wird. Daher dem Rat gefolgt und das vorher Paket installiert, da ich eine verbaut habe.
Allerdings scheint Unbound nun echt lange mit der DNS-Auflösung beschäftigt zu sein.
Allerdings scheint Unbound nun echt lange mit der DNS-Auflösung beschäftigt zu sein.
Ähnliche Themen
- Artikel