fabichan
Goto Top

IPBan in OpnSense mit CrowdSec einrichten?

Hallo! Ich bins mal wieder mit einer kleinen frage.

Ich bin aktuell dabei unseren Projektserver neu aufzusetzen.
Ich nutze als firewall eine OpnSense. Ich möchte gern das die config seite auf WAN erreichbar ist (Ich weiß, nicht die best practice), das geht auch soweit. Jetzt kommt der Punkt: Die oberfläche sitzt hinter einem reverse proxy (damit dies an eine subdomain kann und aus cert. gründen) Das klappt auch.
Aber dadurch klappt kein CroudSec oder andere fail2bans, da er nur die IP vom Reverseproxy bekommt. Header wird mitgeschickt (X-Forwarded-For) aber juckt die oberfläche nicht.

hat jemand damit erfahrung in die richtung?

Danke im vorraus

Content-Key: 82087576281

Url: https://administrator.de/contentid/82087576281

Printed on: December 1, 2023 at 07:12 o'clock

Member: commodity
commodity Sep 20, 2023 at 22:27:58 (UTC)
Goto Top
aber juckt die oberfläche nicht
was bei genauerer Betrachtung auch logisch ist.

Das Thema ist hier gut erklärt und auch ein Lösungsansatz beschrieben.

Dieser Lösungsansatz ist vom Prinzip ähnlich, erscheint mir aber eleganter.

Viele Grüße, commodity
Member: Dani
Dani Sep 21, 2023 at 03:47:57 (UTC)
Goto Top
Moin,
Aber dadurch klappt kein CroudSec oder andere fail2bans, da er nur die IP vom Reverseproxy bekommt. Header wird mitgeschickt (X-Forwarded-For) aber juckt die oberfläche nicht.
es gibt für die Thematik einen weiteren Paramter für die Crowdsec Lösung: use_forwarded_for_headers (https://docs.crowdsec.net/docs/configuration/crowdsec_configuration/#use ..). Damit sollte diese die richtige IP-Adresse aus den Logfiles auslesen und verwerten.


Gruß,
Dani
Member: fabichan
fabichan Sep 21, 2023 at 07:22:28 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Aber dadurch klappt kein CroudSec oder andere fail2bans, da er nur die IP vom Reverseproxy bekommt. Header wird mitgeschickt (X-Forwarded-For) aber juckt die oberfläche nicht.
es gibt für die Thematik einen weiteren Paramter für die Crowdsec Lösung: use_forwarded_for_headers (https://docs.crowdsec.net/docs/configuration/crowdsec_configuration/#use ..). Damit sollte diese die richtige IP-Adresse aus den Logfiles auslesen und verwerten.


Gruß,
Dani

Der Parameter ist doch nur für die API soweit ich gesehen habe, oder nicht?

In den logfiles steht nicht Mal die IP aus dem Header, sondern nur die vom Reverse-Proxy. Den Login Audit interessiert scheinbar nur die Connect IP
Member: Dani
Dani Sep 21, 2023 updated at 20:16:40 (UTC)
Goto Top
Moin,
In den logfiles steht nicht Mal die IP aus dem Header, sondern nur die vom Reverse-Proxy.
von welchen Logfiles sprichst du?

Aber dadurch klappt kein CroudSec oder andere fail2bans
Läuft auf der OpnSense, richtig?


Gruß,
Dani
Member: fabichan
fabichan Sep 22, 2023 at 04:58:52 (UTC)
Goto Top
Zitat von @Dani:

Moin,
In den logfiles steht nicht Mal die IP aus dem Header, sondern nur die vom Reverse-Proxy.
von welchen Logfiles sprichst du?

Aber dadurch klappt kein CroudSec oder andere fail2bans
Läuft auf der OpnSense, richtig?


Gruß,
Dani

Hat sich erübrigt. Ich mach das anders, ich mach's ohne Reverse Proxy auf nem high Port.

Aber stehe nun vor einem anderen Problem

Ich hab ja hn0 als WAN und hn1 als LAN Interface

Zusätzlich hab ich für einem Mail Server eine weitere Public IP, an hn2. Der Mailserver sitzt dann mit an hn3

Problem ist, sobald ich hn1 und hn2 anbinde, geht kein DNS resolving mehr und alles steht. Ich binde mal ein Bild vom Setup ein
1000017217
Member: Dani
Dani Sep 22, 2023 at 16:17:42 (UTC)
Goto Top
Moin,
Hat sich erübrigt. Ich mach das anders, ich mach's ohne Reverse Proxy auf nem high Port.
Alles klar.

Aber stehe nun vor einem anderen Problem
neues Problem, neue Frage.


Gruß,
Dani