1
23.1 Legacy Series / Re: NordVPN connection issue
« on: July 05, 2023, 07:44:49 pm »
solved: NordVPN changed the authentication, now service credentials must be used for login (see attachment)
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
23.1 Legacy Series / [Solved] NordVPN connection issue
« on: July 05, 2023, 05:18:36 pm »
Hi,
the VPN worked without problems until a few days ago. Does someone know if Nord VPN has changed something? Login (username/pass) is 100% correct
OPNSense 23.1.9
OpenVPN package 2.6.4
Log:
config:
kind regards,
sarge
the VPN worked without problems until a few days ago. Does someone know if Nord VPN has changed something? Login (username/pass) is 100% correct
OPNSense 23.1.9
OpenVPN package 2.6.4
Log:
Code: [Select]
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 85466 - [meta sequenceId="1"] OpenVPN 2.6.4 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 85466 - [meta sequenceId="2"] library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="3"] MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
<28>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="4"] NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="5"] TCP/UDP: Preserving recently used remote address: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="6"] Socket Buffers: R=[42080->42080] S=[57344->57344]
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="7"] UDPv4 link local: (not bound)
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="8"] UDPv4 link remote: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="9"] TLS: Initial packet from [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%), sid=9ff13ef6 923800f4
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="10"] VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="11"] VERIFY OK: depth=1, O=NordVPN, CN=NordVPN CA8
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="12"] VERIFY KU OK
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="13"] Validating certificate extended key usage
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="14"] ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="15"] VERIFY EKU OK
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="16"] VERIFY OK: depth=0, CN=de963.nordvpn.com
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="17"] Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="18"] [de963.nordvpn.com] Peer Connection Initiated with [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%)
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="19"] TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
<29>1 2023-07-05T17:05:45+02:00 openvpn_client1 86487 - [meta sequenceId="20"] TLS: tls_multi_process: initial untrusted session promoted to trusted
<29>1 2023-07-05T17:05:46+02:00 openvpn_client1 86487 - [meta sequenceId="21"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="22"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="23"] MANAGEMENT: CMD 'state'
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="24"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="25"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="26"] MANAGEMENT: CMD 'status 3'
<29>1 2023-07-05T17:05:48+02:00 openvpn_client1 86487 - [meta sequenceId="27"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:51+02:00 openvpn_client1 86487 - [meta sequenceId="28"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:51+02:00 openvpn_client1 86487 - [meta sequenceId="29"] AUTH: Received control message: AUTH_FAILED
<29>1 2023-07-05T17:05:51+02:00 openvpn_client1 86487 - [meta sequenceId="30"] SIGTERM[soft,auth-failure] received, process exiting
~config:
Code: [Select]
dev ovpnc1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon openvpn_client1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-GCM
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
tls-client
client
nobind
management /var/etc/openvpn/client1.sock unix
remote de850.nordvpn.com 1194
remote de972.nordvpn.com 1194
remote de963.nordvpn.com 1194
auth-user-pass /var/etc/openvpn/client1.up
ca /var/etc/openvpn/client1.ca
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo no
route-noexec
resolv-retry infinite
remote-random
reneg-sec 0
remote-random
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
remote-cert-tls server
fast-io
auth-nocache
kind regards,
sarge
3
Documentation and Translation / Re: AdGuard Home setup guide
« on: May 18, 2023, 08:15:23 pm »Will do.
I also find the documentation/video from the original source:
https://www.max-it.de/adguard-dns-blocker-neues-opnsense-plugin/
He is showing it in an other way.
Going with an other port for AGH and leaving port from Unbound at 53.
Then making a NAT Port Forward to (in this video) 5310.
Why not choosing this way? Is there any downside?
The advantage would be, that the Firewall itself does not need to go through AGH and other networks, which I don't want to can also be Unbound only.
Hi! I started with this configuration a few days ago and at the moment it workes (OPNSense 23.1.7). I'm using another VLAN-Interface that I would like to remain untouched from ADGuard.
I'm looking for the right configuration for DoT, DoH, upstream, bootstrap DNS.
The goal would be:
- filtering rules for children (consideration of DoT, DoH)
- exceptions for Adults (ip addressess)
- additional VLAN interface untouched
any help or suggestions would be greatly appreciated!
kind regards,
Sarge
4
German - Deutsch / Re: Kinderschutz (Internetfilter) - mögl. Lösung?
« on: May 18, 2023, 03:50:14 pm »
@Tiermutter,
bin gerade dabei mich bei ADGuard einzuarbeiten. Grundsätzlich läuft es schon mal mit NAT-Portforwarding DNS auf Port 53530 (ADGuard).
Darf ich fragen wie du ADGuard in Kombination Unbound DNS konfiguriert hast? Sprich Upstream- und Bootstrap-DNS Server ...
mfg,
bin gerade dabei mich bei ADGuard einzuarbeiten. Grundsätzlich läuft es schon mal mit NAT-Portforwarding DNS auf Port 53530 (ADGuard).
Darf ich fragen wie du ADGuard in Kombination Unbound DNS konfiguriert hast? Sprich Upstream- und Bootstrap-DNS Server ...
mfg,
5
German - Deutsch / Re: Kinderschutz (Internetfilter) - mögl. Lösung?
« on: April 24, 2023, 01:54:56 pm »
Hallo tiermutter,
vielen Dank für die Erklärung und die Infos! Das hilft mir auf jeden Fall weiter in die richtige Richtung zu gehen ...
vielen Dank für die Erklärung und die Infos! Das hilft mir auf jeden Fall weiter in die richtige Richtung zu gehen ...
6
German - Deutsch / Re: Kinderschutz (Internetfilter) - mögl. Lösung?
« on: April 24, 2023, 10:25:27 am »bedarf aber auch ein paar Änderungen an der Firewall selbst, damit nichts an dem Filter vorbeigeht (hardcoded DNS / DOH, DOT bzw. auch selbst eingestellte DNS, falls der Bengel auf die Idee kommt).
Ich habe früher nur die Geräte dorthin umgeleitet, auf die die Filter angewendet werden sollten, da meine Frau unbedingt Werbung sehen will, musste ich sie ausschließen. Heute wird alles zu AdGuard geleitet, für meine Frau (nur ihr Handy) wende ich dort keine Werbefilter an, sondern nur Malwarefilter.
Hallo! würde es im Prinzip genau so handhaben. Filter für die Kinder (das möglichst sicher) und Ausschluss von bestimmten Geräten da auch meine bessere Hälfte anscheinend die Werbung sehen will (warum auch immer :-)). Kannst du mir noch ein paar Tips geben wir du die "DNS-Problematik" gelöst hast bzw. welche Kombination du einsetzt und Manipulationen zu verhinden? Da muss ich mich erst noch schlau machen ...
danke und Grüße,
Sarge
7
German - Deutsch / Re: Kinderschutz (Internetfilter) - mögl. Lösung?
« on: March 09, 2023, 12:39:42 pm »
Danke für die Input! ADGuard schau ich mir auf jeden Fall genauer an.
Unser Sohn verwendet zur Zeit ein (altes) iPad, erhält demnächst aber zusätzlich ein Windows Notebook (Schule). Der Filter muss deshalb auf jeden Fall geräteübergreifend eingestellt werden, für uns als Eltern werde ich wahrscheinlich den Filter etwas lockerer konfigurieren.
Grüße Sarge
Unser Sohn verwendet zur Zeit ein (altes) iPad, erhält demnächst aber zusätzlich ein Windows Notebook (Schule). Der Filter muss deshalb auf jeden Fall geräteübergreifend eingestellt werden, für uns als Eltern werde ich wahrscheinlich den Filter etwas lockerer konfigurieren.
Grüße Sarge
8
German - Deutsch / Kinderschutz (Internetfilter) - mögl. Lösung?
« on: March 09, 2023, 11:06:16 am »
Hallo,
mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.
Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.
Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins
viele Grüße,
Sarge
mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.
Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.
Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins
viele Grüße,
Sarge
9
German - Deutsch / Re: Bitwarden_RS (Raspi / Docker) und OPNSense Absicherung
« on: May 31, 2021, 08:52:35 am »Ich nutze dafür HA Proxy. Funktioniert sehr gut. Wenn du es entsprechend konfigurierst, kannst du alles über 443 TCP laufen lassen (Bitwarden, Nextcloud,...) und SSL dort terminieren. Dann ist die Zertifikatsverwaltung einfacher.
Danke für den Tip! Ich werd erstmal Bitwarden_RS aufsetzen und mich danach dem Thema HA Proxy widmen :-)
mfg,
10
German - Deutsch / Re: Bitwarden_RS (Raspi / Docker) und OPNSense Absicherung
« on: May 30, 2021, 07:01:00 am »
Hallo,
mir ging es eigentlich um einen Input in welche Richtung man gehen könnte/sollte um das Ganze bestmöglich abzusichern. Danach wird natürlich recherchiert
Mfg
mir ging es eigentlich um einen Input in welche Richtung man gehen könnte/sollte um das Ganze bestmöglich abzusichern. Danach wird natürlich recherchiert
Mfg
11
German - Deutsch / Bitwarden_RS (Raspi / Docker) und OPNSense Absicherung
« on: May 28, 2021, 11:38:43 am »
Hallo,
ich fange gerade an mich mit dem Thema zu beschäftigen und möchte gerne auf einem Raspi 4 / 4GB Bitwarden_RS (Docker, Nginx, LetsEncrypt) laufen lassen. Das Ganze soll dann auch von extern erreichbar sein
Welche Empfehlung gibt es das ganze sicher zu machen? Eine einfache Portweiterleitung scheint mir nicht der richtige Weg zu sein. Auf dem Raspi sollte zudem noch ein weitere Docker Container laufen (UI controller)
Vielleicht kann mir jemand ein paar Tips geben damit ich ich den "richtigen" Pfad einschlage :-)
Vielen Dank!
mfg,
Sarge
ich fange gerade an mich mit dem Thema zu beschäftigen und möchte gerne auf einem Raspi 4 / 4GB Bitwarden_RS (Docker, Nginx, LetsEncrypt) laufen lassen. Das Ganze soll dann auch von extern erreichbar sein
Welche Empfehlung gibt es das ganze sicher zu machen? Eine einfache Portweiterleitung scheint mir nicht der richtige Weg zu sein. Auf dem Raspi sollte zudem noch ein weitere Docker Container laufen (UI controller)
Vielleicht kann mir jemand ein paar Tips geben damit ich ich den "richtigen" Pfad einschlage :-)
Vielen Dank!
mfg,
Sarge
12
21.1 Legacy Series / Re: OpenVPN - DNS issue / question
« on: April 01, 2021, 04:54:53 pm »You probably would have mentioned this, but it's still worth asking: Do you have any overrides configured in your Unbound DNS?
Hi,
no, I do not have any overrides configured in my Unbound DNS. Maybe my "DNS issue" was just an exception with Google DNS in combination with Unbound DNS / cache hits.
13
21.1 Legacy Series / Re: OpenVPN - DNS issue / question
« on: April 01, 2021, 12:56:42 pm »Do you always get the same results for www.amazon.de when you ask Google DNS directly?
Just an idea: I assume you do not get the same results from Google DNS, when you repeat your query later. Thus asking your OPNsense DNS might provide slightly different results, depending on its own cache.
Hi!
that was also my assumption that it must have something to do with the cache. I was just wondering because I no longer had access to the amazon pages until I set the google DNS servers directly on the hosts (instead the OPNSense IP)
14
21.1 Legacy Series / Re: OpenVPN - DNS issue / question
« on: March 31, 2021, 07:52:31 pm »I missed something here. Are you using OPNsense only as OpenVPN client or also as OpenVPN server?Hi,
yes, only as OpenVPN client for some hosts (policy based routing) and of course as firewall, DHCP server
Gesendet von iPhone mit Tapatalk
15
21.1 Legacy Series / Re: OpenVPN - DNS issue / question
« on: March 28, 2021, 04:50:20 pm »Are you asking why different nameservers provide different results for the same query?
No, I'm asking why the nameserver from OPNsense (192.168.1.254) forwarded to Google DNS 8.8.8.8 in my configuration (?) provide different results as direct DNS query to Google DNS