In een vorig artikel bespraken we de installatie van router-firewall OPNsense, waarmee je inbrekers buiten de deuren van je systeem houdt. Nu gaan we wat dieper in op de mogelijkheden van dit veelzijdige besturingssysteem.

Toegang via ssh en seriële console

De webinterface is niet de enige manier om toegang te krijgen tot OPNsense. Op de pagina System / Settings / Administration vind je de instellingen voor de drie manieren: web, ssh en seriële console. Bij de eerste kun je bijvoorbeeld een ssl-certificaat instellen, dat je eerst in System / Trust Certificates dient aan te maken. Onder Console staan de instellingen voor de seriële console, waartoe je via een seriële (usb-)kabel en een terminalprogramma zoals PuTTY toegang krijgt. Handig als je door verkeerde netwerkinstellingen jezelf hebt buitengesloten uit je OPNsense-machine.

De ssh-toegang staat standaard uitgeschakeld. Vink Enable Secure Shell aan om de ssh-server te starten. Eventueel vink je Permit root use login en Permit password login aan, maar het is eerder aan te raden om in System / Access / Users een gebruiker aan te maken en daar bij Authorized keys de publieke sleutel van de gebruiker te plakken.

Websites blokkeren

Met OPNsense kun je ook eenvoudig zelf websites of andere netwerktoegangen blokkeren. Dat doe je door je eigen regels toe te voegen in het tabblad User defined van het IPS. Klik op het plusteken rechts en vul bij Source IP het ip-adres in van de machine die geen toegang tot de website mag hebben (laat leeg voor alle machines). Bij Destination IP vul je het ip-adres van de website in.

Handig is dat je hier ook de vingerafdruk van het certificaat van een website kunt invoeren. Wil je bijvoorbeeld de toegang tot Facebook blokkeren, klik dan in je webbrowser op de eigenschappen van het certificaat van Facebook en kopieer de sha1-vingerafdruk. Plak die in het veld SSL/Fingerprint en stel Action in op Drop. Klik op Save changes om je regel toe te voegen. Daarna moet je wel eerst de browsercache van je computers legen, zodat ze opnieuw het certificaat van Facebook downloaden en OPNsense de website blokkeert.

©PXimport

Dns over tls

Je kunt ook dns over tls inschakelen voor je hele netwerk. OPNsense schakelt standaard de dns-server Unbound (ontwikkeld door NLnet Labs) in en geeft via dhcp het ip-adres van zichzelf als dns-server door aan de computers op je netwerk. Die gebruiken daardoor allemaal Unbound om domeinen op te vragen.

Als je op je OPNsense-machine via ssh inlogt en dan het netwerkverkeer op je wan-poort afluistert, bijvoorbeeld met de onderstaande opdracht (met igb1 voor je wan-interface), zie je alle dns-aanvragen onversleuteld voorbijkomen:

Daar gaan we nu iets aan doen. Ga naar Services / Unbound DNS / General en klik op Show advanced options. In het tekstveld Custom options dat nu verschijnt, kun je regels aan het configuratiebestand van Unbound toevoegen. Als je bijvoorbeeld de DoT-provider dns.sb wilt gebruiken, vul hier dan het volgende in:

Klik daarna onderaan op Save om je wijzigingen op te slaan en bovenaan op Apply changes om ze door te voeren. En als je nu weer met tcpdump het netwerkverkeer op udp-poort 53 afluistert, zie je normaal gesproken niets voorbijkomen.

Dns-verkeer omleiden

Met de opdracht

853 zie je wel het verkeer naar de DoT-server, maar dat is versleuteld. Let op: de aanvragen van de computers op je netwerk naar je OPNsense-machine zijn nog onversleuteld, het is alleen het doorsturen van de aanvragen van je OPNsense-machine naar internet dat via de DoT-server gaat. Dat kun je eenvoudig controleren (met igb0 voor je lan-interface):

Zo kun je nog altijd de dns-aanvragen van computers in je netwerk onversleuteld op de lan-interface zien binnenkomen.

Om nu zeker te zijn dat alle dns-verkeer via de ingestelde DoT-server gaat, dien je de netwerkconfiguratie in System / Settings / General na te kijken. Zorg dat er bij DNS servers niets ingevuld staat en dat Allow DNS server list to be overridden by DHCP/PPP on WAN en Do not use the local DNS service as a nameserver for this system niet aangevinkt zijn. Controleer daarna met de opdracht

op je OPNsense-machine of alleen 127.0.0.1 als dns-server ingeschakeld staat.

©PXimport

Advertenties blokkeren

Het IPS blokkeert bedreigingen op basis van regels, maar je kunt nog veel eenvoudiger via dns allerlei domeinen blokkeren, bijvoorbeeld voor advertenties en malware. Dat doe je met een dns-blocklist (vaak afgekort tot dnsbl). OPNsense biedt standaard die mogelijkheid niet via de webinterface, maar er bestaat een extra plug-in die je het wel op een relatief eenvoudige manier laat configureren: UnboundBL.

Op het moment van schrijven zat UnboundBL nog niet in de officiële lijst met plug-ins. Log daarom eerst als root in op je OPNsense-machine en voer de volgende opdracht uit om de tools te installeren die nodig zijn om plug-ins te compileren:

Download dan de recentste versie van UnboundBL:

Ga dan naar de zojuist gedownloade directory, compileer de plug-in en installeer ze:

Die laatste regel is nodig omdat de installatie de scripts van UnboundBL door een fout niet uitvoerbaar maakt. Op het moment dat je dit leest, is de fout misschien al opgelost.

De instellingen van UnboundBL vind je nu onder Services / Unbound DNS / DNSBL. Vink Enable aan en vul in het tekstveld Blocklist URL(s) een url in van een blocklist. Op The Big Blocklist Collection vind je er heel wat. Andere populaire lijsten zijn die van Steven Black en zelf hebben we goede ervaringen met die van de Nederlander sjhgvr.

Ga daarna naar Services / Unbound DNS / General en voeg in het tekstveld Custom options (alleen te zien als je Show advanced options ingeschakeld hebt) de volgende regel toe:

Klik daarna op Save en Apply changes. Elke keer dat je iets aan je zwarte lijst verandert, dien je Unbound te herstarten door in Dashboard bij Unbound rechts op het icoontje met de twee pijltjes in een cirkel te klikken. Let op: het herstarten kan even duren als je een grote blacklist hebt. Vanaf nu worden alle dns-aanvragen naar domeinen die in de zwarte lijst staan geblokkeerd.

Het enige wat je nog dient te doen, is regelmatig je blacklist bijwerken door in de instellingen van UnboundBL op Save te klikken en Unbound te herstarten. Overigens kun je hier ook domeinen die onterecht geblokkeerd worden aan een whitelist toevoegen.

Plug-ins in OPNsense

Het is mogelijk om in OPNsense plug-ins te installeren om de functionaliteit uit te breiden. Je vindt de lijst in het menu System / Firmware / Plugins. Zo vind je er plug-ins om tls-certificaten op te halen met Let’s Encrypt, om webpagina’s te cachen, om binnenkomende bestanden te scannen op virussen, om je verbindingssnelheid te testen, om je netwerkverkeer te monitoren, om machines te wekken via Wake-on-lan, en ook enkele thema’s voor de webinterface.

©PXimport

Met een klik op het icoontje met de letter i rechts van een plug-in krijg je wat meer informatie. Een klik op het plusteken installeert de plug-in. Sommige plug-ins zijn na installatie bereikbaar in een van de submenu’s van OPNsense; andere werken puur op de opdrachtregel of starten een webinterface op een eigen poort op.

Let er wel mee op dat je niet te veel plug-ins installeert: als je immers onbetrouwbare, kwetsbare of voor je hardware te zware software installeert, heeft dit een grote impact op je netwerk.

Monitor je netwerkverkeer met ntopng

De ingebouwde monitoringmogelijkheden van OPNsense tot slot zijn al niet slecht, maar je kunt dit nog uitbreiden met enkele plug-ins. Een interessante is ntopng. Als je na de installatie van ntopng en redis (nodig voor ntopng) de pagina herlaadt, vind je onder het menu Services nieuwe submenu’s: Ntopng en Redis. Schakel eerst Redis in (de standaardinstellingen zijn oké) en daarna Ntopng (ook hier zijn de standaardinstellingen in orde). Log daarna via je webbrowser in op poort 3000 van het ip-adres van je OPNsense-machine met gebruiker admin en wachtwoord admin.

De eerste keer dat je je aanmeldt, wordt je gevraagd om je wachtwoord te veranderen. De interface van ntopng ziet er wat gedateerd uit, maar biedt je een ongelooflijk inzicht in je netwerk en op elke pagina kun je doorklikken om je zoektocht te filteren.

Op vakantie met de camper of caravan? Dan wil je vooral genieten van de vrijheid en zo min mogelijk tijd kwijt zijn aan huishoudklusjes. Hoeft ook niet: met een beetje voorbereiding, wat slimme hulpmiddelen en een paar kleine dagelijkse routines blijft alles fris. En dat betekent ook: geen monsterschoonmaakklus bij thuiskomst dus. Als dat geen ontspannen vooruitzicht is!

Lees ook: Brug te laag? Bocht te krap? Met campernavigatie verloopt je reis wél probleemloos

🧳Dit doe je voor vertrek

Een goede start begint met een schone basis én de juiste spullen aan boord. Door je camper of caravan voor vertrek al goed schoon te maken, bespaar je jezelf tijdens je reis een hoop werk. Maak het aanrecht, de koelkast en het kookgedeelte schoon, stofzuig de vloer en neem kastjes en oppervlakken af met een vochtige doek. Ook ramen en spiegels kun je beter alvast schoonmaken: onderweg kan stof er zich dan minder makkelijk aan hechten.

Check daarnaast het toiletgedeelte. Spoel het chemisch toilet door, vul het reservoir met toiletvloeistof en neem een extra navulling mee. Reinig toiletpot en deksel grondig. Nu blijft het onderweg alleen nog maar een kwestie van bijhouden.

Pak vervolgens de juiste schoonmaakspullen in voor onderweg:

☐ Compacte handstofzuiger of kruimeldief (liefst op accu)
☐ Microvezeldoeken en een droge trekker
☐ Setje (liefst biologisch afbreekbare) schoonmaakmiddelen (voor keuken, sanitair en vloeren)
☐ Mobiele lagedrukreiniger met watertank
☐ Vuilniszakken
☐ Bezem of stoffer en blik

🏖️ Dit doe je onderweg

Ook op vakantie is het prettig als je je huis op wielen fris houdt. Regelmatig even schoonmaken voorkomt dat vuil zich ophoopt en maakt de eindschoonmaak makkelijker.

Vloeren en oppervlakken

Gebruik een handstofzuiger om zand en kruimels dagelijks weg te halen. Houd een doekje en wat allesreiniger bij de hand voor gemorste drankjes of vlekken. Leg een matje bij de ingang en neem vieze schoenen buiten al af, zodat je geen modder of zand naar binnen loopt.

Keuken en badkamer

Werkbladen maak je schoon na elk gebruik. De gootsteen en kraan kun je afnemen met een vochtige doek. In de badkamer is het belangrijk om na elke douchebeurt overtollig water weg te trekken en oppervlakken droog te maken met een microvezeldoek. Zo voorkom je kalkaanslag en schimmel.

Ventileren en luchten

Zorg dagelijks voor frisse lucht in het voertuig, vooral in de natte ruimte. Laat ramen of dakluiken even open staan om condens en vocht af te voeren.

Toilet bijhouden

Leeg de toiletcassette op tijd en maak hem ook af en toe schoon vanbinnen met water en een beetje azijn of toiletvloeistof. Zo blijft het fris én voorkom je verstoppingen.

©Kärcher

🏡 Dit doe je als je weer thuis bent

Ben je weer thuis, maak dan zo snel mogelijk schoon – zodat je caravan of camper meteen weer 'vertrekklaar' is. Haal eerst alle losse spullen uit het voertuig. Zo kun je meteen uitzoeken wat weg kan. Gooi afval weg en haal de koelkast leeg en maak hem schoon. Laat de deur van de koelkast openstaan om geurvorming te voorkomen.

Bekleding en textiel

Banken en stoelen zijn vaak intensief gebruikt. Met een vlekverwijderaar kun je – de naam zegt het al – vlekken verwijderen; is dat niet nodig, gebruik dan een textielverfrisser in sprayvorm om alles weer lekker fris te laten ruiken. Laat alles goed drogen, het liefst buiten bij warm weer, om schimmel te voorkomen.

Kasten, keuken, douche en wastafel

Kasten, plankjes en tafelbladen neem je af met een vochtige doek en mild schoonmaakmiddel. De keuken, inclusief fornuis en randen, maak je eenvoudig vetvrij met een stoomreiniger. Die werkt ook goed op kalkaanslag in de douche en op kranen.

Toilet reinigen na de reis

Spoel het toilet grondig door en maak het volledig leeg. Reinig ook het afsluitrubber en laat de cassette goed drogen voordat je die weer opbergt.

Vloeren en hoekjes

Gebruik een stofzuiger met kierenmondstuk om kruimels, zand en stof uit de vloer en hoekjes te halen. Controleer ook de ruimte onder banken en bedden.

Buitenkant van camper of caravan

Gebruik een hogedrukreiniger om vuil van de buitenkant te verwijderen. Werk eventueel met een zachte wasborstel op een telescoopsteel om makkelijk bij het dak te kunnen. Insectenresten, straatvuil en vogelpoep verwijder je het best zo snel mogelijk om vlekken te voorkomen.

©maho

Heb je een Chromebook die niet meer opstart? Geen paniek. Er zijn verschillende stappen die je kunt nemen om het apparaat weer tot leven te wekken. In veel gevallen is het probleem namelijk eenvoudiger op te lossen dan je denkt.

Chromebooks staan bekend om hun gebruiksgemak en scherpe prijs, en inmiddels kunnen ze ook prima offline functioneren. Maar daar heb je weinig aan als het apparaat niet opstart. Reageert je Chromebook nergens meer op? Met deze tips vergroot je de kans dat hij toch weer meewerkt.

Koppel accessoires en dongels los

Begin bij het begin: haal alle randapparatuur uit de poorten. Denk aan usb-sticks, externe muizen of dongels. Soms zorgt een aangesloten apparaat voor een stroomprobleem of een storing, waardoor de Chromebook niet goed opstart. Doet hij het na het loskoppelen weer? Sluit de accessoires dan stuk voor stuk opnieuw aan om te ontdekken welk onderdeel de boosdoener is.

Reinig de oplaadpoort

Een verstopte usb-poort kan ook roet in het eten gooien. Stof of vuil belemmert soms het contact tussen kabel en apparaat. Een spuitbus met perslucht is ideaal om de poort schoon te blazen. Heb je die niet bij de hand, dan kun je ook voorzichtig een plastic tandenstoker of een wattenstaafje met een beetje isopropylalcohol gebruiken. Vermijd houten stokjes, die kunnen splinters achterlaten.

Controleer of het scherm werkt

Lijkt het alsof de Chromebook niets doet? Check dan eerst of het scherm überhaupt aanstaat. Het kan gebeuren dat iemand voor de grap de helderheid op het minimum heeft gezet. Druk een paar keer op de helderheidstoets om te zien of het beeld terugkomt. Nog steeds niets? Sluit het apparaat dan eens aan op een extern scherm om te testen of de Chromebook wel signalen afgeeft.

©Google

Gebruik een andere kabel

Geen resultaat? Probeer dan een andere usb-c-kabel. Misschien ligt het simpelweg aan een defecte oplader. Als het ledlampje aangaat bij het aansluiten van een andere kabel, weet je dat het apparaat stroom krijgt. Voor de zekerheid kun je ook een ander stopcontact proberen, al is dat zelden de oorzaak.

Check de accu

Brandt het lampje, maar weigert de Chromebook alsnog dienst, dan zou de accu weleens defect kunnen zijn. In sommige gevallen kun je die zelf vervangen, maar let op: je garantie vervalt dan meestal. Het is verstandiger om contact op te nemen met de verkoper of fabrikant. Als dat niets oplevert, kun je overwegen om een reparatiespecialist in te schakelen.

©Tada Images - stock.adobe.com

Voer een Powerwash uit

Als je Chromebook nog wel opstart maar niet goed functioneert, kan een zogenoemde Powerwash uitkomst bieden. Dit is een fabrieksreset die alle gegevens wist en het systeem schoon herstart. Zorg dus dat je belangrijke bestanden vooraf veiligstelt, bijvoorbeeld in de cloud. Zo geef je je Chromebook mogelijk een tweede leven, zonder nieuwe aan te hoeven schaffen.

Alles geprobeerd?

Hopelijk helpt dit en kun je na het uitvoeren van één van deze stappen weer gebruikmaken van je Chromebook. Zo niet en ben je van plan een nieuwe Chromebook te kopen, dan is het handig om te weten wat bijvoorbeeld de verschillen zijn tussen een normale en Plus-variant. Daarnaast gaven we eerder al wat tips over het kopen van zo'n laptopvervanger en kun je hier lezen wat vijf goede opties voor een redelijk betaalbare prijs zijn.