Schlagwort-Archive: OPNsense

CrowdSec auf OPNsense mit NGINX Szenarios nutzen

Schreibe eine Antwort

CrowdSec auf der OPNsense ist eine feine Sache und erkennt und blockiert standardmäßig bereits gängige Reconnaissance-Angriffe wie z.B. Port-Scanning. Wer aber NGINX als Reverse Proxy auf der OPNsense einsetzt, der möchte eventuell den Schutz auch auf NGINX ausweiten. Hierzu kann man einfach das NGINX-Szenario aus CrowdSec nachinstallieren, und auf den ersten Blick funktioniert danach auch zunächst alles – aber nur auf den ersten Blick.

Spätestens nach ein paar Tagen wird nämlich bei Betrachtung der Logs auffallen, dass anscheinend keine neuen Angriffe geloggt bzw. geblockt werden – ein Neustart von CrowdSec löst dann das Problem, aber wieder nur vorübergehend. Das mag zunächst verwunderlich wirken, wo doch der CrowdSec Daemon ordnungsgemäß läuft – das Problem ist aber eigentlich recht einfach zu finden. Die Kurzfassung: CrowdSec liest die NGINX logs standardmäßig über Symlinks, also quasi Verweise auf die jeweils aktuellen Log-Dateien ein. OPNsense rotiert diese Logdateien jedoch regelmäßig, was dazu führt, dass CrowdSec sozusagen „die Spur verliert“ und nun eine alte oder nicht mehr existierende Log-Datei einliest. Das passiert deshalb, weil CrowdSec zu Beginn dem Symlink zur eigentlichen Logdatei folgt, aber dann nicht bemerkt, wenn die Logdatei rotiert wird. Um das zu beheben, müssen wir ein paar Konfig-Dateien anpassen bzw. anlegen, aber das ist in wenigen Minuten erledigt.

Weiterlesen

OPNsense als Heimrouter (Teil 2): Die Hardware

Schreibe eine Antwort

In Teil 1 dieser Reihe haben wir uns damit beschäftigt, wie ich überhaupt auf die Idee gekommen bin, OPNsense zuhause als Router einzusetzen, welche Vor- und Nachteile das hat und welche Hardwareoptionen es dabei allgemein gibt. In diesem Teil wollen wir uns nun konkret mit der von mir geählten Hardware beschäftigen.

Wie ich zum Ende des letzten Beitrages bereits angeteasert habe, ist der Anlass dieses Beitrags, dass ich meine bestehende Firewall-Lösung mit neuerer und vor allem leistungsfähigerer Hardware ersetze, wodurch ich beide Lösungen miteinander vergleichen kann – konkret in diesem Fall den Fujitsu Futro S920 als günstigen Einstieg in die Welt von OPNsense, und den HP T740 als leistungsfähige Lösung für alle, die Multi-Gigabit oder Features wie IDS/IPS brauchen, oder die vielleicht sogar die Firewall virtualisieren (Proxmox) und zusätzlich noch andere Andwendungen auf dem Rechner ausführen wollen.

Weiterlesen

OPNsense als Heimrouter (Teil 1): Die Theorie; Pro und Kontra

Schreibe eine Antwort

Schon seit geraumer Zeit betreibe ich in meinem Heimnetz eine OPNsense Firewall. In diesem Beitrag (Teil 1) soll es darum gehen, was eine solche Lösung im Heimnetz nützt, welche Nachteile man evtl. in Kauf nehmen muss und welche Hardware sich zur Umsetzung eignet.

Dies ist als mehrteilige Serie gedacht. In Teil 2 geht es um meine konkrete Umsetzung bzw. die verwendete Hardware und bei Interesse und Zeit könnten auch noch weitere Beiträge folgen. Alle weiteren Beiträge werde ich auch hier verlinken.

Die Vorgeschichte (wie ich auf die Idee kam)

Meine Wohnung besitzt einen mit meinem Vermieter geteilten Kabelanschluss (Vodafone Kabel, ehemals Kabel Deutschland), was in der Theorie schön hohe Internet-Geschwindigkeiten von 500Mbit/s Down und 50Mbit/s Up ermöglicht, weshalb ich von diesem Angebot gerne Gebrauch gemacht habe. Leider hat so ein Kabelanschluss aber auch Nachteile – Kabel ist grundsätzlich ein „Shared Medium“, man teilt sich die Bandbreite also mit den Nachbarn, weshalb die tatsächliche Geschwindigkeit besonders in den Stoßzeiten durchaus auch mal deutlich niedriger liegen kann. Das eigentliche Problem begann aber, als während Corona, als ich den ganzen Tag im Homeoffice bzw. Online-Studium saß, der Kabelanschluss mehrere Wochen am Stück ausfiel. Das war verständlicherweise eher schlecht, weil ich natürlich auf einen funktionierenden Internetanschluss angewiesen war. Als das Ganze sich dann ein halbes Jahr später ein weiteres mal wiederholt hat, ist mir der Geduldsfaden gerissen, und ich habe einen DSL-Anschluss bei der Telekom gebucht.

Der DSL-Anschluss funktionierte zwar viel zuverlässiger als der Kabelanschluss (wobei man fairerweise erwähnen muss, dass ich wahrscheinlich einfach nur Pech hatte: seit dem zweiten längeren Ausfall vor einigen Jahren läuft auch der Kabelanschluss stabil), war aber natürlich deutlich langsamer: nur 200 Mbit/s im Download, nur der Upload war immerhin gleich (50Mbit/s). Also kam ich auf die Idee: „Was, wenn ich die Geschwindigkeit beider Internetleitungen kombinieren kann?“ Man gönnt sich ja auch sonst nichts.

Im Folgenden werde ich nun etwas ausführlicher auf die für mich entscheidenden Vorteile eingehen und anschließend ein kurzes (Zwischen-)Fazit ziehen.

Weiterlesen