@slu ich bin ein windoof hater. ich habe mich damit nicht auseinander gesetzt. da musst du wahrscheinlich googeln um die infos zu bekommen.
ich muss halt ab und an was mit dem kram machen, mehr nicht.

pfBlocker läd IP Listen und DNS Listen ein, diese werden dann für den Block und den NX-Domain Rückgabewert auf dem Unbound verwendet.

Nur er zieht die Last halt beim Listen aktualisierten und nicht beim Durchsatz wie es mit Snort der Fall ist, der mit den Listen auch nichts anderes macht, nur halt viel mehr CPU Cycle frisst.

Hatten wir zwar schon mal, aber würde gut ins Meeting passen, da es wirklich ein komplexer Aspekt ist.

@JeGr
das OpenVPN ist sofort gelaufen und hat ganz gut ausgesehen, kann über die WebGUI und die CLI nicht klagen.
Vielleicht habe ich die Konfiguration welche Probleme macht auch noch nicht gefunden :)

Was mit tatsächlich etwas schwer fällt ist die Zonen Geschichten, das hatte ich damals bei OpenWRT schon "nicht" verstanden.

@bob-dig said in OpenVPN DCO in OpenVPN 2.6:

Also scheint es da doch ein paar dependencies zu geben.

Ich versteh nicht ganz was die das mit dem zitierten Block zu tun hat. Meine Aussage ist relativ klar, was das angeht. Es bringt IMMER etwas (siehe Grafik) aber am meisten, wenn es bidirektional eingesetzt wird. Was ist daran jetzt eine große Abhängigkeit? Jede Seite braucht OVPN 2.6 und das gibts aktuell noch nicht. 🤔

Mit war und ist OpenVPN leider zu kompliziert, aber wenn ich es mal wieder brauche, werde ich hier fragen. 😉

Das hatten wir schon mehrfach und das ist sicherlich ein Thema für dich, aber es passt halt auf - subjektive Behauptung - 90% des Rests nicht. Wireguard mag ein nettes Spielzeug sein wenn man allein dran rumbastelt aber wenn die Szenarien komplexer werden ist es eben nicht einfach / gut einsetzbar. Und IPsec ist für Einwahl immer noch unnötig komplex und eingeschränkt. Daher ist OpenVPN da schlicht der way-to-go. Was an simplem Tunnel oder Einwahl komplex sein soll muss ich nicht verstehen, aber dein spezifisches Setup fällt da auch nicht rein und das als Vergleich anzulegen passt eben - wie gesagt - für den Rest hier so gut wie nicht. :)

Cheers

@m0nji Schwierig. Ich musste immer wieder verschiedene Doku oder Wiki Tools verwenden und so 100% bin ich mit keinem warm geworden, weswegen Doku meistens liegen bleibt weil es einfach zu nervig/komplex einzupflegen ist und damit dann extrem viel Zeit drauf geht :/

Persönlich würde ich am Ehesten zu einem/einer Art Wiki tendieren, in welchem verschiedene Dinge für schnelles dokumentieren gegeben sein sollten/müssten:

einfache Links, Verlinkung und Strukturierung einfache Schreibweise für Formatierungen ohne stundenlang rumsuchen. Markdown, Textile egal, aber es sollte intuitiv sein und die meisten Sachen die man häufig braucht schnell und einfach während des Tippens schon flink supporten ohne dass man hinterher da extrem viel machen muss einfaches copy&paste (und damit upload) auch von Bildern. Siehe hier im Forum, immer noch eines der MAXIMAL nervigsten Punkte, wenn man nicht einfach Mal schnell und dreckig damit "was da ist" einen Screenshot o.ä. hochladen und speichern kann. Am Tollsten natürlich noch, wenn damit auch noch einfache Markups hinterher im Bild möglich sind aber das ist Glanzparade, kein muss. Wichtig wäre eher, dass man hinterher ggf. das Bild auch einfach austauschen kann wenn mans nachbearbeitet hat. einfaches copy&paste auch von Formatierungen für Dokus rund um Netze und Logik wärs natürlich toll, wenn ggf. ein Tool wie Diagram o.ä. enthalten wäre. Da das ja inzwischen oft HTML/JS Tools sind lassen die sich ja einfacher einbinden als früher. Aber ein Netzplan ggf. sogar mit klickbaren Elementen ist halt in einer Doku/Wiki ein Träumchen

Ich hab mal lange mit Dokuwiki gearbeitet, was wirklich recht angenehm war, aber da haben eben die letzteren Features doch (damals) sehr gefehlt. Bei einem Kunden hab ich ein Wiki gesehen, was sehr viele der obigen Punkte abgedeckt hat und wenn man dann sieht, wie der nebenbei während wir seine Kiste konfigurieren einfach mal mitschreiben bzw. zeichnen kann - holy, das hätte ich auch gerne gehabt. Habe leider vergessen zu fragen was da alles drin steckt, aber gerade die Sache mit einfachem Bildupload und in Bilder noch fix was reinschreiben/anmerken oder markieren mit Highlighter oder Pfeilen ist halt schon genial.

Aber da wäre ich auch extrem an Input von anderen interessiert, was auf die Punkte so zutrifft und was ihr so einsetzt. In der Firma aktuell unsere Knowledgebase im Ticketsystem sowie Redmine für Backend Tasks und dort dann die integrierte Wiki/Doku Funktion, da bin ich aber nicht so glücklich mit, da Redmine da nicht gerade extrem userfreundlich ist was einfaches anhängen von Daten angeht.

@andyger
Warum soll ich schlagen. :)

Unter Linux ging es auch mit der Wildcard, nur BSD bzw. die Sense zickte damals rum. Oder ich war noch zu doof, daran kann es auch liegen:)
Hab seit knapp 2 Jahren nichts daran geändert, schön dass es jetzt auch geht.

Mike

@m0nji Man muss bei dem ganzen Hetzner private Network Zeug dran denken, dass ALLES was von den Hosts/VMs kommt ERST zu Hetzners internem Gateway läuft und DANN ggf. zur pfSense. Deshalb auch der Routing-Tab. Deshalb bei einem /24er auch die /32er Maske bei den Hosts, damit diese nicht von Host zu Host selbst versuchen zu sprechen, sondern IMMER an Hetzners GW geroutet und von dort verteilt wird.

Das ist notwendig, da Hetzner die VM in jedem Standort erlaubt. Und wenn du ne VM in Finnland und eine in Deutschland hast und die beiden 10.20.30.11 und .12 hätte und ein /24er Netz konfigurieren würden, dann würden die beiden versuchen mit sich gegenseitig zu sprechen - was nicht geht weil nicht lokal.

Daher pusht Hetzner sein eigenes GW und die /32er Maske bei /16. Darum sollte man auch nichts auf .1 konfigurieren, da da eigentlich immer das Hetzner eigene GW sitzt.

Am Einfachsten hat das bei uns OOTB funktioniert wenn wir ein Netz definiert haben, dort die VMs einfach per Zuweisung im Interface mappen (auf ihre IPs) und die Hosts selbst auf DHCP schalten. Dann pusht Hetzner selbst die korrekten Settings über das Netzwerk Gateway das für die privaten Netze zuständig ist und alle Kisten können sich sehen. Nur auf der Sense muss man dann natürlich aufpassen, dass man nicht versehentlich die falschen Masken nutzt und daher das Routing falsch läuft. Korrekte statische Routen etc. sind da wichtig. :)

Cheers

@jegr said in TrustPID Seuche: näher beleuchtet:

oder ihr SMS/MMS Ersatz, den sie erst teuer verkaufen wollten, bis irgendwo mal durchgedrungen ist, dass die Leute lieber Instant-Messenger nutzen weil die kostenlos sind. Davon abgesehen ist SMS zwar stabiler (bekommt man auch mit GPRS noch zugestellt) aber dafür dann mehr als für ein Datenpaket zahlen ist weltfremd.

"Mehr zahlen" ist sehr zurückhaltend ausgedrückt. Wenn ich ein VCard als MMS verschicke (geschätzte 240 Byte Daten), kostet mich das heute noch 1 Euro extra. Und auf der anderen Seite habe ich Gigabytes an Datenvolumen im Vertrag für ein paar Euro, die ich niemals nutze.
Nach meinem Verständnis sind Daten gleich Daten und GPRS wird für MMS wohl auch nur genutzt, wenn nichts anderes da ist, was heute eher selten sein dürfte. Aber der Netzbetreiber sieht das offenbar anders.

Zu TrustPID selbst jetzt gesplitteter Beitrag:

-> https://forum.netgate.com/topic/172702/trustpid-seuche-n%C3%A4her-beleuchtet

Nur damit wir hier bei VPN allgemein bleiben :)

@nocling Ja, gibt es. Danke für den Tip!

@m0nji said in Audio: Was ganz anderes :):

BTW: die Apple Earpods gibts doch ganz normal bei Amazon: Apple Earpods

Jup da gibts aber viel Warnungen vor Fakes - ist halt die Frage wer der Verkäufer ist. Schade eben, dass die kaum mehr produziert werden.

Inzwischen ist wieder ein offline Setup ohne UI Account möglich.
Sehr schön das Ubiquiti hier reagiert hat.

@tpf said in Allgemein: Proxy als Teil der Sicherheit?:

Mit den zusätzlichen Signaturen kommt da schon was zusammen. Auch 0-Day (lizenzpflichtig)

Das würde mich interessieren, welche sind das denn?
Hast Du mir ein Link?

@slu said in Windows Updates only - Alias/Squid - andere Idee?:

Seither habe ich das mit einem Squid auf Debian realisiert und mich an der Netgate Anleitung [1] orientiert. Das klappt auch so irgendwie, ist aber extrem träge. Wenn man auf "Updates suchen" klickt passiert erstmal einige Sekunden gar nichts. Hat er dann endlich Updates gefunden lädt er stunden lang herunter "Wird heruntergeladen - 0%"....

Wundert mich nicht wirklich, wenn du auf HTTP/S only stellst, wird das wohl nicht ganz so zügig laufen. Das wird ja schon seit Windows 8(?) zusätzlich noch per P2P versucht zu beschleunigen von mehreren Quellen und wenn er da einige abtackert die er nicht erreichen kann, ist der Delay und die schlechte Rate klar.

Hatte MS da nicht ne Info URL drüber, welche IP Ranges/Domains das betrifft? Gibt ja auch die MS365, Office365 etc. Endpoint Liste, da sollte es hypothetisch ja ne Liste für Updates auch irgendwo geben :)

Ok da ich gefragt wurde wie ich mit einer FritzBox einen stabilen IKEv1 Main Mode zum laufen bringen konnte, hier die entsprechenden Schritte.

Zuerst wurde der Tunnel auf der pfSense wie folgt angelegt.
P1: IKEv1 IPv4 Mutual PSK Aggressiv FQDN AES256 SHA512 DH2 Lifetime 28800 DPD deaktiviert
P2: Tunnel IPv4 ESP AES256 SHA512 DH2 Life Time 3960 Auto Ping Host (Fritz LAN IP) Keep Alive aktiviert

Dann auf der Fritzbox GUI einen neuen S2S Tunnel erstellt:
PSK wurde aus der pfSense generiert übernommen, VPN-Verbindung dauerhaft halten aktiviert.

Dann sollte der Tunnel erstmal so laufen.
So habe ich diese auch lange betrieben, bis ich dann auf die Idee gekommen bin, denn in der Anleitung von AVM steht nix von der Einschränkung auf Aggressive Mode.
Nur das für die erste Aushandlung DH2 verwendet wird, dann kann auch DH14/DH15 verwendet werden.

Also gut, versuchen wir es mal.

Also mit dem "FBEditor-0.6.9.7k" die Konfig eingelesen, die folgenden 2 Zeilen geändert.
ALT:

mode = phase1_mode_aggressive; phase1ss = "all/all/all";

Neu:

mode = phase1_mode_idp; phase1ss = "dh14/aes/sha";

Konfig in die Box zurück gespielt, das es funktioniert hat merkt man da der Tunnel weg ist und sich die App aufhängt.

Also dann in der pfSense wie folgt anpassen.
P1: umstellen auf Main Mode und eine zweites P1 Proposal Set dazu erstellen so dass dann
AES256 SHA512 DH2
AES256 SHA512 DH14/DH15
vorhanden sind.

P2: P2 Proposal Set von DH" auf DH14/DH15 umstellen.

Noch mal alles kontrollieren und Applay Changes

Dann erstmal warten, denn die Fritz legt bei der Übernahme der Einstellung einen Neustart hin.
Bisher laufen die Tunnel seit dem mit Main Mode sauber, nach einem Neustart der pfSense kommen die wieder hoch und auch nach einem Neustart vom Cabel Modem.

Es geht also doch, ich hoffe ich sehe diese böse Variable im Log nie wieder...