Zuhause ist da wo die Wände brennen

Sonntag, 25. März 2018 - 21:39 Uhr  |  Kategorie: Software

OPNsense.pngDa sitze ich nun in diesem IT-Sicherheitsaudit und ich habe ganz ehrlich das Gefühl das die Typen welche das Audit halten gefährlicher sind als die Hacker vor denen sie zu warnen versuchen. Eine tolle Sache hat das ganze aber: Einer der Berater erzählt mir das OpnSense aktuell grade sein absoluter liebling ist.

Nachdem das Audit also vorbei war untersuche ich OpnSense also genauer und stelle fest das diese Distribution meine IPcop installationen ablösen wird. Einige Tage später habe ich den Gateprotect GPO 150 meines Kollegen mit der neuen Firewallsoftware bespielt und mir gleich noch von eBay einen gebrauchten GPO 150 für 75€ organisieren können. Also habe ich jetzt hier zwei echt gute Firewalls stehen. Meine Mission sollte aber erst beendet sein nachdem diese auch wie meine bisherigen IPcop installationen mit IPsec gekoppelt sind.

Kein Panik denn IPsec lässt sich ja auf den Teilen dank der Anleitung aus der Dokumentation sehr simpel konfigurieren. Einen Pferdefuß hat die Sache aber: Ich weiß das IPsec auch nicht ewig läuft da die Zwangstrennung des Providers oft im Wege steht. Auf dem IPcop gab es in der WebGui eine Möglichkeit IPsec einfach zu Zeit X neu zu starten. Bei OpnSense gibt es glücklicherweise auch einen Cron in der WebGui doch leider keinen Eintrag dafür :( Also nix wie SSH angeschmissen und mal unter die Haube geschaut.

Nach ein wenig suchen fiel mir das Verzeichnis "/usr/local/opnsense/service/conf/actions.d" auf, in dem ganz viele Aktionen für den Cron zu finden waren. Also einfach mal ein Blick in "actions_ipsec.conf" geworfen und festgestellt das dort bei "[restart]" keine description steht. Ich hab das einfach mal durch hinzufügen von: "description:Restart IPsec" geändert. Danach noch durch "service configd restart" den Dienst neu gestartet und siehe da auf einmal tauchte im WebGui Cron der Eintrag auf :)

Ich denke damit sollte die IPsec Verbindung auch nach Zwangstrennung durch den Provider immer da sein. Falls ihr weitere Aktionen benötigt checkt einfach mal das oben genannte Verzeichnis. Happy Firewalling!

Update:
Um zu verhindern das die Datei "actions_ipsec.conf" bei einem Update überschrieben wird kann man die Dateirechte mit "chmod 444" auf r--r--r-- setzen.


Zurück zur Übersicht