Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - NilsS

Pages 1 ... 5 6 7 8 9 ... 12
#91
17.7 Legacy Series / Re: Setup SSL VPN Road Warrior - Problems
October 30, 2017, 09:39:58 AM
Have you change the TLS Authentication after the export of client configuration?

You could also try to change Auth Digest Algorithm to SHA256 which is still enough - see
https://airvpn.org/topic/14837-control-channel-cipher-satisfactory/page-2#entry33173
https://crypto.stackexchange.com/questions/26510/why-is-hmac-sha1-still-considered-secure

Some more info on your settings can help solve this.
Maybe VPN -> OpenVPN -> Logfile have also some usefull infos
#92
German - Deutsch / Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
October 30, 2017, 09:18:59 AM
Gerade über das Englische Forum drüber gestolpert, vielleicht hilft dir das.

https://forum.opnsense.org/index.php?topic=3521.0

Scheint wohl (entgegen den Herstellervorgaben) doch auch mit deutlich weniger Ports zu funktionieren.
#93
German - Deutsch / Re: wan <-> dmz <-> sense
October 29, 2017, 08:03:20 PM
QuoteAuf der Lan Schnittstelle habe ich ebenfalls eine Statische IPv4 Konfiguration
eigentlich standard

QuoteInstallation funktionierte keinen Gateway.
auch normal ... da das Gateway ja WANseitig ist

QuoteSchnittstelle: Lan auf die IP des betreffenden PC's eingibt?
das verstehe ich nicht so ganz. Du willst jetzt ausgehenden Traffic erlauben oder?
Dann kannst du das auch beschränken auf nur diese eine IP, diese muss dann jedoch auf SOURCE stehen, kannst du aber auch (sofern du da nicht weitere Clients im LAN hast, die kein Internet haben sollen) LAN net stellen

QuoteUnd unter NAT -> ausgehend WAN mit der IP des PC's als Quelle?
?? Nee eher so nicht ..

Beim NAT musst du eigentlich (wenn unter OUTBOND auf auto steht) meist garnichts machen,
du kannst aber überprüfen ob es dort eine Regel gibt die Interface WAN, im SOURCE LAN_NET hat und als IP INTERFACEADDRESS hat.

Im Gegensatz dazu, benötigst du wenn du Zugriff ZUM LAN brauchst (also dort einen Port von außen erreichbar mache willst)
Die Zugriffsregel auf dem WAN Interface mit DESTINATION IP deines Rechners, diese wird beim erstellen der NAT Regel PORTFORWARD eigentlich automatisch angelegt.


#94
German - Deutsch / Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
October 28, 2017, 12:19:07 PM
Naja. https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1438_Xbox-One-im-FRITZ-Box-Heimnetz-einsetzen/

Unglaublich.
#95
German - Deutsch / Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
October 27, 2017, 11:17:41 PM
Mal kurz gegoogelt was die Xbox alles an Ports will oO

TCP: 53, 80, 3074

UDP: 53, 88, 500, 3074, 3544, 4500

Orly, sind die nicht ganz dicht.
Bye Bye Webserver,IPSec,DNS



#96
German - Deutsch / Re: [UPDATE#3] OPNSense hinter FB 6490 Cable
October 27, 2017, 09:18:35 PM
Hast du die Xbox denn von Proxyzwang befreit?

Vielleicht geht es ja nur deswegen nicht. Dein ganzer NAT und UPNP Kram passt überhaupt nicht zu einer Firewall in der eigentlich gar kein direkter Zugriff nach außen möglich ist.

Ich glaube du stellst dir selbst ein Bein.
#97
17.7 Legacy Series / Re: Multi WAN
October 27, 2017, 09:48:11 AM
why dont you use your DNS Servers as Monitoring IPs, are they also still pingable beside the 8.8.x.x

I see you use the local DNS Resolver/Forwarder ... any more infos on that? unbound?
is Systen -> Settings -> General:  Do not use the DNS Forwarder/Resolver as a DNS server for the firewall  set?

Is the name resolution not working on the LAN/VLANs or also not working on OPNsense itself?

Does reseting states (Firewall -> Diagnostics -> States Reset) work? instead of reboot
#98
German - Deutsch / Re: Connection Loss - VLAN Routing und OpenVPN Probleme
October 27, 2017, 08:46:07 AM
QuoteRegeln wie Erlaube VLAN User (192.168.X.X/24) nach VLAN User Gateway (192.168.X.1) auf Port 53 oder 123 für NTP.
Das kannst du ja mit recht simplen Regeln erlauben.

Action: Pass
Interface: VLAN_USER
TCP/IP Version: IPv4
Protocol: UDP
Source: VLAN_USER NET
Destination: This Firewall
Destination port range: DNS/NTP
Gateway: bleibt auf default


Quotesticky connections
brauchst du nur wenn du in der Gatewaygroup alle Gateways als Tier1 anlegst.

wozu hast du das shared forwarding aktiviert? nutzt du traffic shaper oder captive portal?

QuoteHier auch mal meine OpenVPN advanced Settings:
hier sind mein
Code Select

mssfix 1379; ## try to hide OpenVPN
sndbuf 393216; ## try 0 for TCP
rcvbuf 393216; ## try 0 for TCP
fast-io; ## only for UDP
explicit-exit-notify 4; ## only UDP
server-poll-timeout 10;
mlock;
key-direction 1;
key-method 2;
keysize 256;
prng SHA512 64;
remote-cert-tls server;
tls-version-min 1.2;
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384;
reneg-sec 3600;
route 0.0.0.0 192.0.0.0 net_gateway
route 64.0.0.0 192.0.0.0 net_gateway
route 128.0.0.0 192.0.0.0 net_gateway
route 192.0.0.0 192.0.0.0 net_gateway


Quoteum das VPN Gateway Problem in den Griff zu kriegen
kannst du das denn auch provozieren?
also streaming über LAN mit VLC und dann händisch OpenVPN Client neu starten
oder geht das nur wenn die Verbindung abbricht.
Bricht die VPN Verbindung denn so oft ab?
Ist dein WAN so schlecht oder PP?
Ich habe die VPN Tunnel oft über mehrere Tage offen und habe eigentlich nie Probleme mit Latenz oder Geschwindigkeit. Durchschnitt so 40-60ms Ping und 50-140Mbit Down und ~20Mbit up Leitung ist 200/25 Werte Speedtest.net mit VPN Servern .de und .cz (Werte weichen kaum voneinander ab)

Durchschnitts Ping über WAN (ohne VPN) auf 8.8.8.8 liegt so bei 27ms

Ich nutze zwei IPsec Tunnel zu remote Sites (über WAN direkt) die keine Abbrüche verzeichnen sollte irgendeine der OpenVPN Tunnel zusammenbrechen.

Default Gateway switching könnte wenn du denn bei deiner jetzigen Konfig bleibst (damit dein lokaler unbound auch die VPN Tunnel nimmt) ein Option sein.

Der untersterste Punkt "Disable force Gateway" könnte dafür auch noch eine Option werden, aber da kann ich dir noch nix zu sagen (werde da aber - sofern Zeit - mal testen) https://forum.opnsense.org/index.php?topic=6242.0
#99
17.7 Legacy Series / Re: [SOLVED] REGRESSION! 17.7.7 Aliases fields moved
October 27, 2017, 08:04:54 AM
thx for the hotfix, everything back to normal
#100
17.7 Legacy Series / Re: BUG? 17.7.7 Aliases fields moved
October 26, 2017, 07:41:04 PM
no problem ;-) (wo gehobelt wird da fallen Späne)

i didn't changed anything in the alias section. Just updated to 17.7.7 and looked inside the alias section for a reply to another thread in the forum.

#101
17.7 Legacy Series / Re: BUG? 17.7.7 Aliases fields moved
October 26, 2017, 07:05:12 PM
Back online, aliases didnt resolved ... startup took about 5 minutes (maybe DNS issues - outgoing DNS is restricted with aliases to only allow some DNS Servers)
* disabled firewall from console
Code Select
pfctl -d
* disabled firewall in webgui
* reboot
* aliases back in Diagnostics pftables
* aliases still in wrong position (see above screenshot)

I will not reboot now ... dont have the time to fix that up again

* geoip aliases seems to work - i could connect via VPN which is only limited with an GEOIP alias
but couldn't go further because aliases (ports) in openvpn rules

#102
17.7 Legacy Series / Re: BUG? 17.7.7 Aliases fields moved
October 26, 2017, 06:22:32 PM
After reboot no more access :-(

#103
German - Deutsch / Re: Remote NAT Log
October 26, 2017, 04:20:45 PM
System -> Settings -> Logging
[ x ] Send log messages to remote syslog server
Remote Syslog Servers: Server1 "deinserver"

Remote Syslog Content: [ x ] Firewall Events
#104
17.7 Legacy Series / [SOLVED] REGRESSION! 17.7.7 Aliases fields moved
October 26, 2017, 04:17:20 PM
The fields in the Aliases section moved, the real value is not visible and the description field is where the value should be.

Not restartet yet (don't want to loose access if something is really somewhere wrong)

#105
17.7 Legacy Series / Docs about Disable force gateway
October 26, 2017, 10:46:41 AM
Are there any threads or issues to look into for information about
Firewall -> Settings -> Advanced: Disable force gateway ?
Disable automatic rules which force local services to use the assigned interface gateway.

can this resolve the problems using tcp_outgoing_address with squid?

Pages 1 ... 5 6 7 8 9 ... 12