Hallo zusammen.
Da ich neu hier bin, bitte entschuldigt wenn etwas nicht gleich passt.
Ich versuche euch so viele Infos wie möglich zu liefern und hoffe dass jemand mir vielleicht helfen kann.
Zu meinem Problem.
Ich habe eine Opnsense als Router und Firewall im Einsatz. Darauf habe ich über die Paketverwaltung Crowdsec installiert und gestartet.
Opnsense 25.1. Crowdsec 1.6.4.
Dahinter läuft ein Proxmox Server mit mehreren Diensten und einem Reverse Proxy.
Ich habe nun versucht die Funktion von Crowdsec zu testen. Dazu habe ich manuell in der Console von der Opnsense einen Ban eingetragen mit einer externen IP. (Von meinem handy)
Mit folgendem Befehl habe ich den Eintrag gemacht.
cscli decisions add -t ban -d 10m -i IP.Vom.Handy.
Die Console bestätigt mir den Ban Eintrag und ich sehe diesen auch in der Übersicht der Crowdsec Website.
Allerdings kann ich trotzdem über die IP weiterhin auf meine Dienste zugreifen. Habe ich nun einen Denkfehler oder übersehe ich etwas ?
Wenn ich eine externe IP manuell sperre, dann sollte die Opnsense doch jede Verbindung dieser IP blocken oder ? Und ich sollte nicht in der Lage sein weiterhin auf alle Dienste zuzugreifen ?
Ich bin recht neu im Thema Netzwerk und Firewall. Sollte ich einen Debkfehler haben, bitte gerne darauf hinweisen
Danke Andrew für die Antwort.
Den Gedanken hatte ich auch. Ich habe natürlich beide gesperrt.
Das ganze hat mir keine Ruhe gelassen und ich habe den Tag über versucht den Fehler zu finden.
Schlussendlich bin ich nochmal die Installations Anleitung von @Dennis_Admin durchgegangen.
Ich habe bemerkt dass der use_wal: true Befehl zwar in der conig war, aber an der falschen Stelle.
Kurzum. Ich habe den Wert genau an die gleiche Stelle gesetzt wie Dennis. Crowdsec neu gestartet und zack. Der IP Ban hat sofort funktioniert.
Dies konnte ich auch an der live Ansicht der Opnsense kontrollieren.
Vor ein paar Tagen habe ich das Update auf die Version 25 gemacht. Vielleicht hat es mir da irgendwas zerrupft. Ich weiß es nicht.
Allerdings habe ich mich jetzt einige Zeit mit Crowdsec beschäftigt und bemerkt dass ich relativ wenig Alarme habe.
Zur Info. Ich habe einen Vodafone Dual Stack Anschluss.
Meine Konfiguration sieht so aus:
Modem → Opnsense—> Heimnetz.
Die Opnsense ist per ssh und Web Oberfläche nicht von außen zu erreichen. Nur über vpn vom eigenen Netzwerk.
Des weiteren habe ich gesehen dass ja fast nur ein Schutz für SSH und Web Oberfläche in Crowdsec verfügbar sind für die Opnsense. Und ein multi Port Scanner.
Habe ich deswegen so wenig alarme?
Des weiteren stellt sich mir dann die Frage, wenn meine Dienste (z.b nextcloud) über meinen reverse proxy und eine Domain erreichbar sind, bekommt die Opnsense dann einen Angriff überhaupt mit?
Oder muss ich um die Dienste zu sichern direkt auf den jeweiligen Systemen ansetzen ?
Entschuldigt die vielen Fragen. Das ist ein neues Thema für mich.
das use_wal: true war vielleicht in älteren Versionen nötig, bei der aktuellen Version ist das aber nicht der fall, Crowdsec funktioniert auch ohne diesen Eintrag in die config.yml, habe auch einige Crowdsec Installationen ohne diesen eintrag und die erkennen und sperren ganz zuverlässig
ich empfehle dir die Crowdsec Multiserver Einrichtung für dienste hinter der OPNsense, die dienste melden an die OPNsense ihre Erkennungen und die OPNsense sperrt das an zentraler stelle
Danke für die super Anleitung. Ich habe die mal direkt befolgt und damit eine Jellyfin Instanz abgesichert. Es hat auch auf Anhieb funktioniert. Der Bouncer und die Maschine sind direkt aufgetaucht in der Übersicht der Opnsense.
Allerdings ist mein anscheinend gelöstes Problem doch nicht gelöst.
Ich habe wieder von Extern einen Ban provoziert. Diesmal auf meinem Jellyfin Server. Ich habe mehrmals ein falschen Benutzer und ein falsches Passwort eingegeben,
In der Console von Opnsense taucht auch der Eintrag auf wenn ich mit „cscli decisions list“ die Einträge abrufe. Da steht meine externe IP, Reason Jellyfin-bf, Action „ban“.
Allerdings kann ich weiterhin ganz normal auf meinen Server zugreifen vom Handy. Trotz Ban.
In der Liveansicht der Firewall wird meine IP Adresse auch sofort angezeigt und ist grün hinterlegt.
Mein Problem ist also dass die Opnsense die Entscheidungen von Crowdsec nicht umsetzt. Crowdsec funktioniert Ordnungsgemäß und hat den „Angriff“ von mir erkannt und gebannt. Nur die Opnsene setzt das nicht um.
ich habe es selber grade noch mal getestet, bei mir besteht so ein Problem nicht, ob es also wirklich speziell an Crowdsec liegt wäre seltsam, müssten ja alle das Problem haben die Crowdsec auf der OPNsense benutzen,
hast du auch crowdsec neu gestartet nach den ganzen Einstellungen, oder vielleicht auch mal die OPNsense selber?
Heute kam das Update OPNsense 25.1.1-amd64. Nachdem das Update installiert war, und die Opnsense neu gestartet hat, ist der Fehler behoben. Fürs erste. Ich werde beobachten wie lange es diesmal funktioniert.
Meine Opnsense hat einen automatischen Neustart über die Cron Jobs konfiguiert.
Danke trotzdem für die Hilfe. Ich hoffe das Update hat es jetzt dauerhaft behoben.