Archiv der Kategorie: Netzwerke

CrowdSec auf OPNsense mit NGINX Szenarios nutzen

Schreibe eine Antwort

CrowdSec auf der OPNsense ist eine feine Sache und erkennt und blockiert standardmäßig bereits gängige Reconnaissance-Angriffe wie z.B. Port-Scanning. Wer aber NGINX als Reverse Proxy auf der OPNsense einsetzt, der möchte eventuell den Schutz auch auf NGINX ausweiten. Hierzu kann man einfach das NGINX-Szenario aus CrowdSec nachinstallieren, und auf den ersten Blick funktioniert danach auch zunächst alles – aber nur auf den ersten Blick.

Spätestens nach ein paar Tagen wird nämlich bei Betrachtung der Logs auffallen, dass anscheinend keine neuen Angriffe geloggt bzw. geblockt werden – ein Neustart von CrowdSec löst dann das Problem, aber wieder nur vorübergehend. Das mag zunächst verwunderlich wirken, wo doch der CrowdSec Daemon ordnungsgemäß läuft – das Problem ist aber eigentlich recht einfach zu finden. Die Kurzfassung: CrowdSec liest die NGINX logs standardmäßig über Symlinks, also quasi Verweise auf die jeweils aktuellen Log-Dateien ein. OPNsense rotiert diese Logdateien jedoch regelmäßig, was dazu führt, dass CrowdSec sozusagen „die Spur verliert“ und nun eine alte oder nicht mehr existierende Log-Datei einliest. Das passiert deshalb, weil CrowdSec zu Beginn dem Symlink zur eigentlichen Logdatei folgt, aber dann nicht bemerkt, wenn die Logdatei rotiert wird. Um das zu beheben, müssen wir ein paar Konfig-Dateien anpassen bzw. anlegen, aber das ist in wenigen Minuten erledigt.

Weiterlesen

OPNsense als Heimrouter (Teil 2): Die Hardware

Schreibe eine Antwort

In Teil 1 dieser Reihe haben wir uns damit beschäftigt, wie ich überhaupt auf die Idee gekommen bin, OPNsense zuhause als Router einzusetzen, welche Vor- und Nachteile das hat und welche Hardwareoptionen es dabei allgemein gibt. In diesem Teil wollen wir uns nun konkret mit der von mir geählten Hardware beschäftigen.

Wie ich zum Ende des letzten Beitrages bereits angeteasert habe, ist der Anlass dieses Beitrags, dass ich meine bestehende Firewall-Lösung mit neuerer und vor allem leistungsfähigerer Hardware ersetze, wodurch ich beide Lösungen miteinander vergleichen kann – konkret in diesem Fall den Fujitsu Futro S920 als günstigen Einstieg in die Welt von OPNsense, und den HP T740 als leistungsfähige Lösung für alle, die Multi-Gigabit oder Features wie IDS/IPS brauchen, oder die vielleicht sogar die Firewall virtualisieren (Proxmox) und zusätzlich noch andere Andwendungen auf dem Rechner ausführen wollen.

Weiterlesen

Lüfter beim ZyXEL NBG7815 (Armor G5) unter OpenWRT automatisch ansteuern

Schreibe eine Antwort

Seit einiger Zeit schon verwende ich einen ZyXEL NBG7815 Router („Armor G5“) als Access Point mit OpenWRT, da ich diesen sehr günstig bekommen konnte. Der ZyXEL besitzt zwar einen Qualcomm-SOC (IPQ8074A), wird aber dennoch unterstützt. Natürlich mit der üblichen Einschränkung, dass die proprietäre NSS-Engine des SOCs nicht unterstützt wird, wodurch NAT, Routing, etc. nicht in Hardware beschleunigt werden können – für den Betrieb als Access Point fällt das aber nicht ins Gewicht. Wer den Armor G5 tatsächlich als Router benutzen möchte, dem empfehle ich allerdings den NSS-Build von asvio auf GitHub. Für mich bringt dieser Build hingegen sogar primär Nachteile, da die VLAN-Konfiguration mit NSS nicht bzw. nur mit einem Workaround funktioniert und man natürlich für Updates auf die Maintainer des NSS-Builds angewiesen ist.

Ein weiteres Problem hat das Standard-OpenWRT mit dem Armor G5 noch, und zwar besitzt der Router einen kleinen Lüfter, der von OpenWRT allerdings nicht angesteuert wird. Den Lüfter braucht er auch durchaus, wenn die CPU beansprucht wird. Das ist bei der Verwendung als AP zwar tendenziell wenig der Fall, aber dennoch war mir nicht richtig wohl dabei, dass die CPU sich ohne den Lüfter auch bei geringer Last bei >85 °C einpendelt. Der oben verlinkte NSS-Build löst dieses Problem, indem er den Lüfter ansteuert. Wer aber wie ich lieber beim Standard-OpenWRT bleiben möchte, der kann die Lüftersteuerung auch einfach per Skript implementieren – und genau darum soll es heute gehen.

Weiterlesen

OPNsense als Heimrouter (Teil 1): Die Theorie; Pro und Kontra

Schreibe eine Antwort

Schon seit geraumer Zeit betreibe ich in meinem Heimnetz eine OPNsense Firewall. In diesem Beitrag (Teil 1) soll es darum gehen, was eine solche Lösung im Heimnetz nützt, welche Nachteile man evtl. in Kauf nehmen muss und welche Hardware sich zur Umsetzung eignet.

Dies ist als mehrteilige Serie gedacht. In Teil 2 geht es um meine konkrete Umsetzung bzw. die verwendete Hardware und bei Interesse und Zeit könnten auch noch weitere Beiträge folgen. Alle weiteren Beiträge werde ich auch hier verlinken.

Die Vorgeschichte (wie ich auf die Idee kam)

Meine Wohnung besitzt einen mit meinem Vermieter geteilten Kabelanschluss (Vodafone Kabel, ehemals Kabel Deutschland), was in der Theorie schön hohe Internet-Geschwindigkeiten von 500Mbit/s Down und 50Mbit/s Up ermöglicht, weshalb ich von diesem Angebot gerne Gebrauch gemacht habe. Leider hat so ein Kabelanschluss aber auch Nachteile – Kabel ist grundsätzlich ein „Shared Medium“, man teilt sich die Bandbreite also mit den Nachbarn, weshalb die tatsächliche Geschwindigkeit besonders in den Stoßzeiten durchaus auch mal deutlich niedriger liegen kann. Das eigentliche Problem begann aber, als während Corona, als ich den ganzen Tag im Homeoffice bzw. Online-Studium saß, der Kabelanschluss mehrere Wochen am Stück ausfiel. Das war verständlicherweise eher schlecht, weil ich natürlich auf einen funktionierenden Internetanschluss angewiesen war. Als das Ganze sich dann ein halbes Jahr später ein weiteres mal wiederholt hat, ist mir der Geduldsfaden gerissen, und ich habe einen DSL-Anschluss bei der Telekom gebucht.

Der DSL-Anschluss funktionierte zwar viel zuverlässiger als der Kabelanschluss (wobei man fairerweise erwähnen muss, dass ich wahrscheinlich einfach nur Pech hatte: seit dem zweiten längeren Ausfall vor einigen Jahren läuft auch der Kabelanschluss stabil), war aber natürlich deutlich langsamer: nur 200 Mbit/s im Download, nur der Upload war immerhin gleich (50Mbit/s). Also kam ich auf die Idee: „Was, wenn ich die Geschwindigkeit beider Internetleitungen kombinieren kann?“ Man gönnt sich ja auch sonst nichts.

Im Folgenden werde ich nun etwas ausführlicher auf die für mich entscheidenden Vorteile eingehen und anschließend ein kurzes (Zwischen-)Fazit ziehen.

Weiterlesen