Topics

Hallo Zusammen,

ich hab in meiner Opnsense im Gui 2x ein WAN-Schnittstelle. Einmal lande ich auf einer WAN Schnittstelle einmal auf der Schnittstellenzuweisen-Übersicht.  Wie bekomme ich diesen "WAN-Eintrag" ohne Funktion wieder weg.

[HP ProLiant DL380 Gen10]

Hi Guys,

I have a brand new HP ProLiant DL380 Gen10. He installed these two types of glass fiber cards with 10 G modules.

- HPE Ethernet 10Gb 2-port 562FLR-SFP + Adpt
- HPE Ethernet 10Gb 2-port 562SFP + adapter

A link on the Cards will only be activated on a reboot. In the running system there is no auto on or automatic link up.

Is there a solution to install drivers here or do I have to wait for the next kernel.

Thx for Support

Hallo,

wie steht es den um die Unterstürzung folgender LWL-Einheiten:

-  HPE Ethernet 10Gb 2-port 562FLR-SFP+ Adpt
-  HPE Ethernet 10Gb 2-port 562SFP+ Adapter

Hardware Basis: ProLiant DL380 Gen10

Vor allem zum Thema Link Up wenn man was ansteckt. Bis jetzt gehen die Karten nur Linke Up wenn man nach dem Anstecken die Opnsense einmal rebootet. Gibt es hier Optionen das ganze zu verbessern ?

Hallo Zusammen,

ich hab an meiner WAN-Schnittstelle einige Feste IP Adressen.

Eine dieser IP-Adressen habe ich im OpenVPN Server als Schnittstelle konfiguriert die mit der .151 am Ende.

Welche Regeln muss ich jetzt erstellen damit der Traffic auf der .151 Bereich :443 beim OpenVPN-Server landet.

Ja, ich Betreibe den OpenVPN auf TCP/443 damit er auch hinter Hotel-Firewalls funktioniert.

Mein erste Regelversuch hat dazu geführt das zwar auf der .151 der VPN funktioniert hat aber auf allen anderen IP-Adressen wo kein 443 konfiguriert war die WebGui der OPNSens gekommen ist. Was nicht gut ist.

Danke für jeden Tipp

Hallo Zusammen,

ich versuche gerade meine OPNSense an einen IPSec Tunnel von einer Clavista FW zu verbinden.

Folgende Fehlermeldung kommt:

Code Select Expand


Apr 19 22:18:42 charon: 10[IKE] received NO_PROPOSAL_CHOSEN notify error
Apr 19 22:18:42 charon: 10[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Apr 19 22:18:42 charon: 10[NET] received packet: from 212.28.xxx.xxx[500] to 10.168.7.151[500] (36 bytes)
Apr 19 22:18:42 charon: 10[NET] sending packet: from 10.168.7.151[500] to 212.28.xxx.xxx[500] (396 bytes)
Apr 19 22:18:42 charon: 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 08[CFG] received stroke: initiate 'con1'

Schlüssel und Protokolle zur Verschlüsselung sind bei beiden Seiten gleich. Worauf müsste ich denn noch sonst achten ?

Hallo,

ich hab ein komisches Problem. Ich habe einen Webserver in der DMZ stehen auf dem eine echte .de Domain aufläuft. Von extern funktioniert der Zugriff auch richtig, die NAT stimmt also.

Wenn ich die Domain aber aus dem LAN bzw. der DMZ aufrufe lande ich auf der Firewall und nicht auf der Website.
Der DNS löst auch den Webserver auf mit seiner externen Adresse.

Wo liegt der Fehler hierfür ?

Extern IP: 129.187.176.1**

Intern IP des Webservers: 192.168.68.111

Bei der DNS-Abfrage bekomme ich die externe IP zurück, beim Zugriff per Browser aus LAN oder DMZ lande ich auf der Firewall anstelle auf der Website ...

Hallo Zusammen,

ich will mich nur absichern damit ich keinen Fehler gemacht habe. Wo muss ich die Regeln erstellen damit ich den Zugriff von einem Netz ins andere Blockieren kann.

Beispiel:

LAN Richtung DMZ ist erlaubt, Rückantworten kommen natürlich zurück Richtung LAN

DMZ Richtung LAN ist Blockiert. Und ich kann Regeln unter DMZ erstellen für Geräte die ins LAN dürfen Z.b Printserver der eine Allow auf die IPs der Drucker im LAN bekommt.

Hallo,

wieder eine Nacht ohne kein neues Problem. Ich würde gerne den VPN-Server gegen meine Windows-AD auf Basis von SAMBA 4 Authentifizieren lassen. Dann muss ich nicht Doppelte Benutzer anlegen. Die Freigabe erfolgt über eine Gruppe.

Die Konfiguration ist im Anhang, sowie ein Test. 

Log Informationen:

Code Select Expand

Mar 7 10:25:45 opnsense: Could not startTLS on ldap connection ()
Mar 7 10:24:19 opnsense: LDAP bind error (Can't contact LDAP server)
Mar 7 10:24:12 opnsense: LDAP bind error (Can't contact LDAP server)

Wenn ich die Konfiguration ändere ob Protokoll Version oder Verschlüsselung auf ohne, bekomme ich folgenden Fehler:

Code Select Expand


Mar 7 10:32:09 opnsense: LDAP bind error (Strong(er) authentication required)
Mar 7 10:31:28 opnsense: LDAP bind error (Strong(er) authentication required)
Mar 7 10:28:38 lighttpd[86578]: (mod_openssl.c.1496) SSL: 1 error:1408A10B:SSL routines:ssl3_get_client_hello:wrong version number
Mar 7 10:27:17 opnsense: LDAP bind error (Can't contact LDAP server)
Mar 7 10:26:49 opnsense: LDAP bind error ()

Mit einem LDAP-Browser meiner Wahl bekomme ich per TLS-Zugriff.

Hallo Zusammen,

ich hab ein kleines Problem, bei bestimmten Adressen wirft mir der DNS nur eine IPv6 Adresse zurück obwohl es auch eine IPv4 Adresse gibt.

Das Netzwerk ist so aufgebaut:

Da sich ein SAMBA 4 für Windows Clients in dem Netzwerk (LAN) befindet macht dieser die DNS-Auflösung. Alle DNS Anfragen die er nicht beantworten kann gibt er an die Firewall weiter.

So folgendes:

Abfrage vom Windows Client:

C:\Windows\system32>nslookup
168.192.in-addr.arpa
        primary name server = localhost
        responsible mail addr = nobody.invalid
        serial  = 1
        refresh = 3600 (1 hour)
        retry   = 1200 (20 mins)
        expire  = 604800 (7 days)
        default TTL = 10800 (3 hours)
(root)  ??? unknown type 41 ???
Standardserver:  UnKnown
Address:  192.168.68.116

> debian.mirror.lrz.de
Server:  UnKnown
Address:  192.168.68.116

Nicht autorisierende Antwort:
Name:    debmirror.lrz.de
Addresses:  2001:4ca0:0:101:0:80:21:1
          129.187.10.100
Aliases:  debian.mirror.lrz.de
          mirror.lrz.de

Ergebnis an der Firewall:

Code Select Expand

Typ Adresse
CNAME mirror.lrz.de.
CNAME debmirror.lrz.de.
A 129.187.10.100
NS dns1.lrz.de.
NS dns3.lrz.eu.
NS dns2.lrz.bayern.
A 129.187.19.183
AAAA 2001:4ca0:0:100:0:53:1:1
A 141.40.9.211
AAAA 2001:4ca0:0:100:0:53:1:2
A 193.137.199.104
AAAA 2001:690:a00:3038::104

Problem am Endgerät:

Code Select Expand

E: Fehlschlag beim Holen von http://debian.mirror.lrz.de/iperf3_3.1.3-1_amd64.deb  Verbindung mit debian.mirror.lrz.de:80 kann nicht aufgebaut werden (2001:4ca0:0:101:0:80:21:1). - connect (101: Das Netzwerk ist nicht erreichbar) [IP: 2001:4ca0:0:101:0:80:21:1 80]


Am WAN ist zwar IPv6 Angelegt, und auch IPv6-DNS Server hinterlegt, das LAN spricht aber aktuell intern nur IPv4.

Wie kriege ich dieses Problem gelöst?

Hallo Zusammen,

ich hab am Wochenende meine alte Endian-Firewall nun komplett auf OpnSense umgestellt. Soweit alles mega. Bis auf ein kleines Problem mit dem NAT.

Meine Firewall hat als externe IP 129.X.X.150 , dazu hab ich in diesem Bereich die IP-Adressen von 151 bis 179 als Virtuelle IP-Adressen. Auf der .150 läuft auch der OpenVPN-Zugang. Jetzt wollte ich eine NAT-Regel erstellen die dafür sorgt wenn man die .150 mit Port 22 Anspricht, das an einen SSH-Server in der DMZ weitergeleitet wird.

Regel Vorschlag von mir:

Code Select Expand

Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports Beschreibung

    WAN TCP * * 129.X.X.150 22 (SSH) 192.168.68.115 22 (SSH) SSH Weiterleitung login.xyz.de

Wenn ich diese Regel aktiviere werden alle SSH-Anfragen auch die von virtuellen IPs an diesen SSH Server weitergeleitet. Ich möchte aber nur Anfragen die an die .150 gerichtet sind dahin weiterleiten.

Hallo,

ich hab ein Problem mit der OpenVPN Konfiguration und bitte um Hilfe. Ich denke es ist nur ein Gedanken Fehler von mir.

Ich habe eine Open VPN - Server erstellt -> Authentifizierung Benutzer, sowie die Zertifikate. Das ganze läuft auf TCP:443. Der Zugriff und der Login funktionieren. Die Firewallregeln sind vorhanden. Mein OpenVPN Client bekommt auch eine IP-Adresse, eine DNS-Server und eine DNS-Name. Aber keine Gateway.

Netzwerkdetails:
LAN: 192.168.1.0/24 IP-Adresse Firewall & DNS: 192.168.1.254 -> DHCP Netz
WAN: 129.x.y.z IP-Adresse direkt per Glas -> Feste IP-Adresse
DMZ: 192.168.68.0/24 -> Firewall IP: 192.168.68.254 -> Feste Adressierung in diesem NETZ

VPN-IP-Bereich: 192.168.2.0/24 -> Ich will die nicht im LAN Netz haben

Mein Problem ist das ich wenn ich per VPN Verbunden bin nicht auf die GUI der Firewall komme, auch Pings oder DNS-Abfragen lande im nichts. Als hätte ich keine Gateway. Auch DNS Abfragen funktionieren nicht weil er den DNS nicht erreichen kann.

Wo hab ich was übersehen in der Konfiguration, wo setze ich eine evtl Gateway in alle Netze so das der normale IP WWW Traffic von den VPN-Clients dann nicht über mich läuft sondern über das Netz vom Client direkt. Und bei mir nur der Traffic zum "Homenetz".

Danke für Anregung.

# Update: 24.01.2018 / 14:15

- Die Netzwerke die ich Zugänglich machen möchte hab ich bei "Lokales IPv4-Netzwerk" mit 192.168.1.0/24, 192.168.68.0/24 eingetragen

Am Ende ist noch ein:
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.68.0 255.255.255.0"

gesetzt, muss ich noch irgendwie ein Interface anlegen?

Hallo Zusammen,

wie der Titel schon sagt möchte ich das Firewallsystem wechseln, und hab ein paar Fragen die vielleicht überholt sind aber auf dem ersten Blick verstehe ich es nicht.

1: Zugriff LAN zum Internet

Nach der Setup ist es ja so das der Zugriff zum Internet aus dem LAN sofort funktioniert, alle Ports alle Dienste. Ich möchte das umstellen. Der Zugriff soll möglich sein, aber nur für die Protokolle (SSH, HTTP/S, FTP usw.) sprich alles was von mir nicht mit Erlaubt eingetragen wurde ist geht nicht nach extern.  Wie sieht da so eine Regeltabelle aus (Screenshot erwünscht)

2: DMZ
Ich habe es geschafft, das ich eine DMZ angelegt habe. Auch hier möchte ich es so einrichten das Server in der DMZ bestimmte Sachen im Internet erreichen können (http/s, ftp).

Ich tu mich gerade einfach etwas schwer das Regelwerk der Firewall zu verstehen. Ich freue mich über Tipps und Anregungen.

Danke