Topics

Hallo Zusammen,

hat jemand schon mal Setup gemacht bei OpenVPN mit OPT als 2F. Wo Benutzer und Passwort aus einem LDAPs daher kommen und Gruppenmitgliedschaft" abgefragt wird.

Ich würde zu diesem User muss im LDAP VPN Berechtigt sein noch um einen OPT in der Abfrge erweitern auch mit Support vom OpenVPN Client als Zusatzfeld.

Geht das überhaupt ? Oder kommt hier besser RADIUS in Spiel ?

Hallo Zusammen,

ich hab ein Problem, was ich nicht ganz verstehe oder vielleicht auch falsch mache.

Ich besitze ein öffentliches IPv4 WAN-Netzwerk /24 und hab eine IP-Alias auf dem WAN-Interface angelegt.

Ich möchte jetzt von diesem IP-Alias alle Ports TCP & UDP an das Ziel weiter leiten.

Ich hab ein 1:1-NAT versucht da hat garnichts reagiert.

Ich hab eine Port Alias erstellt von 1:65535 und in eine normale NAT-Regel gesteckt. Alles was TCP ist funktioniert wunderbar. Alles was UDP ist nicht. Obwohl beim NAT IPv4 TCP/UDP angegeben ist. Auch die Regel zu trennen also eine NAT TCP ein NAT UDP bringt keinen erfolg.

Kurz gesagt ich such die option eine Expressfreigabe wie man Sie aus der fritz.box kennt mit alles von der einen IPv4 Adresse des Alias an das Ziel egal ob TCP oder UDP.

Was mach ich falsch?

Hallo Zusammen,

ich hab an meinem OPNsense Cluster fünf VRF-VLANS hängen um Standorte an zu binden.
Eins davon ist neu. Bei den anderen VRF-Netzen kann ich Systeme die mit einer Portforwarding an der FW hängen ohne Probleme erreichen z.b Webserver.

In dem fünften VRF geht einfach gar nichts obwohl NAT- Reflektion für die Portweiterleitungen unter NAT aktiviert ist.

Jemand eine Idee?

Hallo Zusammen,

ich hab gerade mal den letzen OpenVPN Client in der Version 2.5.4 installiert. Wenn ich meine Konfig Aufrufe bekomme ich direkt nach User + Passwor eingabe ein "Verbindung zu xyz fehlgeschlagen" ohne das etwas passiert. Mit 2.5.3 geht alles direkt und ohne Probleme.

Kennt jemand das Problem ?

Hallo Zusammen,

ich hab ein größeres Opnsens Cluster am laufen. Aktuell ist das "LAN" mit X VLANs als LACP LAG angelegt über zwei Netzwerkkarten mit 10 G over LWL. Sprich also 20 G nenn Leistung.

Ich habe noch einen PCIe-Slot im HP Server leer.

Ich habe jetz hier passend zum Server von Intel zwei 40G Cads mit passenden LWL Transreceivern. Auch mein Backend Switch kann mehrmals dicke 40G.

Ich würde jetzt gerne das LACP LAG gerne auf die 40G Cards umbauen so das auf jeder Card wird ein Port in Betrieb ist.

Wie gehe ich da am besten vor ohne das mir LAG und VLANS nach dem wieder hochfahren in der Konfig flöten gehen? Am besten nur so das ich die neuen Ports im LAG wieder zuordnen muss den die VLANs sind dem LAG zugeordnet.

Hallo Zusammen,

ich hab an einem neuen Anschluss mit öffentlich fester IP-Adresse eine Opnsense hängen. Das Kabelmodem ist von Kabeldeutschland. Es steht auf BridgeModus, sprich auf Lan 1 fällt direkt per DHCP die öffentliche IP Adresse raus. Deswegen steht die WAN Schnittstelle auch auf DHCP.

Nun habe ich über den OpenVPN Assistenten einen OpenVPN Konfiguriert auf TCP/443.

Nur leider kämpfe ich gerade damit das auf WAN / 443 der Server sichtbar werden würde.

Eine Regle unter WAN mit

IPv4+6 TCP   *   *   WAN Adresse   443 (HTTPS)

hat der Assistent angelegt.

Was habe ich vergessen oder übersehen?

Update:

Bitte vergesst das ganze, nach ganzen 2 Stunden ohne Kaffee ist mir aufgefallen das ich am Ende die falsche WAN Adresse genommen habe.

Hallo Zusammen,

ich habe heute bei meinem Cluster mal wieder den HA-Test gemacht. Sprich ich deaktiviere auf der Master Carp und schau ob alles erreichbar ist. Das habe ich das letzten mal unter 20.7.2 gemacht da. Heute ist mir dann vor Schreck aufgefallen das meine NATS von WAN nach intern zu den Webservern alle total nicht reagiert haben und träger waren und ewig keine Websiten gekommen sind. Beim Zurückschalten war sofort alles wieder da.

Bei meinen VLANS intern wo die Webserver stehen die auch eine CARP Adresse haben hat die FW als Gateway auf den Ping reagiert mit der Interface IP der zweiten FW.

Ich finde das sehr komisch... jemand eine Idee woher dieses Verhalten kommen könnte.

Hello,

I don't know if I can reach the developers here. But I have a suggestion. With the interfaces, you can protect them from being removed.

I would also wish the same with the NATs. I have over 100 Destination NATs in my Opnsense. And last totally accidentally deleted the wrong NAT using the quick delete function.

It would be nice if you had to consciously unlock the NAT to delete it.

Thank you

Hallo Zusammen,

hat von euch jemand eine OPNsenes auf einem Celeron J3455 / J3160 am laufen und kann etwas zur Performancen sagen:

- Netzwerkdurchsatz hinblick möglicher LACP
- OpenVPN 2 bis 4 User (Durchsatz)

Hallo Zusammen,

meine OPNsense solle einen Site to Site Tunnel aufbauen. Und ich würde gerne ausgehend von dieser OPNsense eine andere IP Adresse aus meinem /24 Netz im RZ verwenden wollen.

Wie stelle ich das am Besten an? Ausgehende NAT Regel die nur für die FW bei IPSec greift?

Hallo Zusammen,

aktuell habe ich es so das mein Firewall Cluster die beiden Maschinen direkt über LWL 10G miteinander Verbunden sind ohne ative Komponennte dazwischen (direkte passive LWL Verbindung). Von einem RZ Teil zum anderen RZ Teil.

Aktuell überlege ich mir den pfSync auf einen 1G LAN Port um zu stellen und per VLAN über die Rackswitche von Firewall A zu Firewall B zu bewegen.

Bei der aktuellen Lösung ist es egal was ausfällt die Firewalls können sich immer sehen solang sie selbst Strom haben.

Was wäre Practice?

Hintergund wäre das ich so ein 10G Modull frei bekommen würde und eine direkte Faser. Damit könnte ich die Anbindung der Firewall im LAGG mit LACP intern von 20G um weitere 10G erhöhen. Und meine beiden Core Switche nochmals mit 100g Verbinden zwischen den beiden RZ hälften. Was ein reines Luxsus Upgrade wäre.

Ich stelle mur nur die Frage was halt ist wenn der pfSync nicht arbeitet weil z.b ein Rackswitch nicht geht. Aber der Rest voll da ist. Hab ich dann Split Brain auf meiner FW mit den CARPS oder ist Ihr das egal so lange sich die CARP Member gengeseitig sehen können?

Hallo Zusammen,

beim Cluster Reboot habe ich immer wieder mal aber ohne Muster folgende Fehlermeldung:

CARP hat ein Problem erkannt und diese Einheit wurde auf den BACKUP Status herabgestuft.
Überprüfen Sie den Link Status aller Schnittstellen mit CARP VIP Konfiguration.

Und dann ist ein Teil auf Backup und ein Teil auf Master. Wenn ich dann Carp deaktiviere und wieder aktivere sind alle Master und auf der anderen FW alle Backup.

Wo finde ich den in welchem Log mehr Informationen dazu um den Fehler zu finden.

Hallo Zusammen,

ich hab bei mir in Unbound einen Überbrückungseintrag für einen öffentlichen Eintrag erstellt. Damit eine Umstellung eines Record schneller richtig beantwortet worden ist.

Jetzt liefert der DNS vom Provider an WAN natürlich nach der Wartezeit auch den richtigen Eintrag für die Domain.

Wenn ich jetzt denn Überbrückungseintrag aus dem Unbound DNS entferne bekomme ich folgendes:

Debian 10:
ping subdomain.domain.de -> Zu diesem Hostname gehört keine Adresse


Auch befrägt die Firewall nicht den externen DNS nach dem Eintrag sonder beantwortet direkt. Als würde beim Entfernen des Eintrags die Domain stehen bleiben ohne A Record.

Nun die Frage, wie kann ich den internen Unbound DNS wieder so zurücksetzen das er meinen Überbrückungseintrag nie hatte oder welche Datei muss ich zur not manuell Bearbeiten das es wieder sauber ist.

thx

Hallo Zusammen,

ich habe wieder mal eine Frage oder ein Problem. Ich habe ein Netz 192.168.112.0/24 für diese Netz ist meine FW DHCP; DNS und Gateway. Die FW sitzt aber mit einer anderen Nic in einem alten bestehend Netzwerk 10.100.0.0/24. In diesem alten Netzwerk sind noch alte Server und für dieses Netzwerk gibt es noch eine alte FW die dort Gateway ist.

Die neue FW hat eine Route um vom 192.168.112.0/24 Netz Richtung dem alten Netz zu gehen und es gibt auch eine Regel die das erlaubt. Nur folgendes Problem.

Ein Server X mit der 192.168.112.68 möchte mit dem Server 10.100.0.12 reden. Eine Regel erlaubt das auch. Das Paket geht an die FW und fällt bei der FW bei der NIC für das Netzwerk 10.100.0.0 raus. Dort hat die FW die IP 10.100.0.240. Der FW möchte dem 112.68 Antworten daher schickt er das Paket an das Gateway für das 10.100.0.0/24 Netz dieses ist dort die .254. Das Gateway kennt den weg zum 192.168.112.0-Netz als Route über den Hop 10.100.0.240. Leider drückt die alte FW Ihre IP als Absender in das Paket. Die OPNSense ignoriert das Paket weil es nicht vom 10.100.0.12 stammt.

Frage:

Ich würde gerne eine NAT bauen was dafür sorgt das wenn ein Paket vom 192.168.112.0-Netz richtung 10.100.0.0 geht der Absender aus dem 192.168.112.0 Netz durch die 10.100.0.240 ersetzt wird. Dann würde der Antwortend Server nicht das alte Gateway befragen sondern direkt das Paket zusenden und die OPNSense dann zurück ein NAT richtung 192.168.112.0 Urheber machen?!

Meine ersten Versuchen haben alle nicht funktioniert. Klar könnte ich natürlich bei dem Server auch Lokal eine Route setzen damit die Antwort gleich richtig läuft, aber in diesem Fall habe ich keine Option eine Route zu setzen.

Ich hoffe Ihr könnt mir folgen und mir irgendwie weiterhelfen.

Hallo,

ich bin mir aktuell unsicher was das Thema Regeln angeht da ich bei einer neuen Setup komisches erlebt habe. Bevor ich davon Berichte stelle ich einfach mit meinem Versuchsaufbau die Frage:

Aufbau:

Code Select Expand

                                                           
     +----------------+                                     
     | Vodafone Kabel |                                     
     | Bussines Modem |                                     
     | 192.168.0.1/24 |                                     
     +--------|-------+                                     
              |                                             
              |                                             
              |                                             
              |                                             
              |Link mit Fester IP zum Modem                 
              |192.168.0.210                               
              |                                             
              |                                             
   +----------+--------+                                   
   |  OPNSense         |                                   
   |  Firewall         |                                   
   +---------^---------+                                   
             |                                             
             |                                             
             |                                             
             |192.168.1.254                                 
             |Firewall IP im LAN                           
             |Gateway / WebGui                             
             |                                             
             |                                             
             |                                             
             |                                             
+------------|------------------------------------+         
|            v                                    |         
|     Lan Netzwerk                                |         
|     DHCP per Firewall                           |         
|     192.168.1.0/24                              |         
|     Bereich 100 bis 200                         |         
|                                                 |         
|                                                 |         
|                                                 |         
+-------------------------------------------------+

Frage:

1. Muss ich damit die Firewall mit dem Modem als DNS für externe Auflösungen reden kann keine Regel anlegen oder geht das per Default
2. Gilt das auch für NTP nach extern braucht es da eine Regel oder darf die Firewall das per Default wenn der Dienst konfiguriert ist
3. Wenn ich jetzt eine Regel erstellen möchte die z.b http und https vom LAN nur Richtung Internet erlauben möchte wie würde diese aussehen? Denn die WAN Schnittstelle und WAN-Adresse ist ja für die Firewall eine 192.168.0.1/24 aber das Internet ist ja keine nicht geroutet Class C Netz.

Vielleicht kann mir jemand meine Knoten im Kopf lösen den ich mir selbst produziert habe und jetzt alle meine Konfigurationen in Frage stelle.

Hallo Zusammen,

vielleicht hatte das Thema ja schon jemand. Whatsapp benutzt ja neben 80 und 443 eine Liste andere Ports:

TCP: 4244,5222,5223,5228,5242
TCP/UDP: 59234, 50318
UDP: 3478,45395

Jetzt möchte mal als FW Admin ja nur diese Ports App für das Ziel Whatsapp erlauben und den Rest nicht. Die IP Adresseliste oder Netzwerkliste von Whatsapp ist lange ...

Hat sich jemand damit schon mal außeinander setzen müssen und vielleicht eine bessere Lösung?

Hallo Zusammen,

ich habe in meinen Internetzwerk einen Client stehen dessen Traffic ich nach extern über eine bestimmten WAN Adresse raus gehen lassen möchte.

Ich habe die externe IP-Adresse als IP-Alias auf meinem WAN angelegt.

Wenn ich eine Ausgehende NAT-Regel für die IP Anlege geht der Traffic aber über meine Default NAT nach außen.

Meine Ausgehende NAT Sieht aktuell so aus:

Code Select Expand

Manual rules
  Schnittstelle Quelle Quellport Ziel Zielport NAT Adresse NAT Port Statischer Port Beschreibung
WAN jeglich * * * 129.xxx.xxx.240 * NEIN  
WAN 10.100.15.2/32  * * * 129.xxx.xxx.245 * Nein  

Was mach ich falsch?

Hallo Zusammen,

ich betreibe zwei OPNSense 19.7.3 als Cluster in einem RZ. Und habe daher für die WAN zum Router CARP im Einsatz. Soweit funktioniert auch alles. Mir ist jetzt nur was aufgefallen was vor einigen Monaten noch nicht so war.

Die Firewall die nicht aktiv prio ist verliert immer die WAN Gateway und zeigt diese im Dashboard als Offline an.
Das hatte ich bis her nicht, auf der Standbye war die Gateway in der Überwachung auch immer aktiv online.

Wenn ich jetzt die Prio in den CARP Wartungsmodus schicke, geht die Standbye ja diret online und wird Master. Dann ist das Gateway auch plötzlich sofort online.

Auch reagiert die Webgui auf der Standbye sehr langsam wenn Sie nicht Master ist.

Im Anhang noch eine Skizze vom Aufbau im RZ.

Wie kommt dieses Verhalten und wie kann ich dafür sorgen das auch die Gateway in der Überwachung der Standbye wieder dauerhaft online ist.

Danke

Hallo,

ich bekomme es einfach nicht hin das in meiner HA-Cluster der NTP funktioniert. Bei den Servern steht immer unnerreichbar. Laut Diagnose mit Tracert kann ich das Ziel aber erreichen. Und Diagnose DNS sagt auch er kann auflösen. Muss ich irgendwie irgendwo noch eine Firewallregel erstellen.

Ich verzweifle, bei meinen anderen nicht HA-Cluster OPNsense funktioniert der NTP.

Hallo Zusammen,

ich habe zwei baugleiche Server mit genau gleichen Hardware und Netzwerk Ausstattung. Beim HA Sync werden mir aber CARP-IPs und Firewallregeln in die falsche Interface übertragen:

Hier der Aufbau im Detail:

Code Select Expand

Server 1 - Netzwerkkonfig:
bge0 = MGMLAN - Zugriff auf die WebGui
bge1 = leer
bge2 = leer
bge3 = leer
ixl0 = leer
ixl1 & ixl3 = lagg0 LAN
ixl2 = WAN
ixl4 = pfSync für HA Sync
ixl5 = leer

Server 2 - Netzwerkonfig:
bge0 = MGMLAN - Zugriff auf die WebGui
bge1 = leer
bge2 = leer
bge3 = leer
ixl0 = leer
ixl1 & ixl3 = lagg0 LAN
ixl2 = WAN
ixl4 = pfSync für HA Sync
ixl5 = leer

Wenn ich jetzt auf Server 1 eine Regel im WAN erstelle landet die Regel bei Server 2 in pfSync. Wie kann ich das korrigieren? Die Schnittstellen sind bei beiden Servern 1:1 belegt und 1:1 ausgewählt worden damit es eben auch zu 100 % gleich ist.