Messages

Hello,

I'm not sure if this configuration is the right one, but at the moment it seems to be working for my requirements:

I created:
- 3 Wireguard instances (1/peer, different listen ports and gateway)
- 3 interfaces
- 3 gateways
- gateway group (trigger level -> member down)

Used the gateway group for my policy-based routing. It's a bit more work to configure compared to OpenVPN, but when It works its oK :-)

regards

Does anyone have a recommendation?

regards,

I have setup the connections, and everything appears to be fine. The failover connection works, but the third connection refuses to route traffic, even though the gateway appears to be up. My hunch is that it has something to do with the tunnel address / gateway configuration.

Hello,

I would like to switch from legacy OpenVPN to Wireguard for my NordVPN connections. With OpenVPN i used multiple remote servers and one Instance if one of them is not reachable. How can I achieve the same with Wireguard?

Does it also work with one instance and multiple peers or do I have to configure multiple instances/peer, gateways and group them as you did?


kind regards,

Hi,

I would like to switch from legacy OpenVPN to Wireguard for my NordVPN connections. With OpenVPN i used multiple remote servers if one of them is not reachable(see screenshot). How can I achieve the same with Wireguard?

Does it work with one intance and multiple peers or do I have to configure multiple instances/peer, gateways and group them?
If multiple peers / instance works also, what gateway ip address should be used?

kind regards,

[solved:]

solved: NordVPN changed the authentication, now service credentials must be used for login (see attachment)

Hi,

the VPN worked without problems until a few days ago. Does someone know if Nord VPN has changed something? Login (username/pass) is 100% correct

OPNSense 23.1.9
OpenVPN package 2.6.4

Log:

Code Select Expand

<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="1"] OpenVPN 2.6.4 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="2"] library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="3"] MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
<28>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="4"] NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="5"] TCP/UDP: Preserving recently used remote address: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="6"] Socket Buffers: R=[42080->42080] S=[57344->57344]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="7"] UDPv4 link local: (not bound)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="8"] UDPv4 link remote: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="9"] TLS: Initial packet from [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%), sid=9ff13ef6 923800f4
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="10"] VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="11"] VERIFY OK: depth=1, O=NordVPN, CN=NordVPN CA8
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="12"] VERIFY KU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="13"] Validating certificate extended key usage
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="14"] ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="15"] VERIFY EKU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="16"] VERIFY OK: depth=0, CN=de963.nordvpn.com
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="17"] Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="18"] [de963.nordvpn.com] Peer Connection Initiated with [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="19"] TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="20"] TLS: tls_multi_process: initial untrusted session promoted to trusted
<29>1 2023-07-05T17:05:46+02:00  openvpn_client1 86487 - [meta sequenceId="21"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="22"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="23"] MANAGEMENT: CMD 'state'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="24"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="25"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="26"] MANAGEMENT: CMD 'status 3'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="27"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="28"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="29"] AUTH: Received control message: AUTH_FAILED
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="30"] SIGTERM[soft,auth-failure] received, process exiting
~

config:

Code Select Expand

dev ovpnc1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon openvpn_client1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-GCM
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
tls-client
client
nobind
management /var/etc/openvpn/client1.sock unix
remote de850.nordvpn.com 1194
remote de972.nordvpn.com 1194
remote de963.nordvpn.com 1194
auth-user-pass /var/etc/openvpn/client1.up
ca /var/etc/openvpn/client1.ca
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo no
route-noexec
resolv-retry infinite
remote-random
reneg-sec 0
remote-random

tun-mtu 1500

tun-mtu-extra 32

mssfix 1450

persist-key

persist-tun

remote-cert-tls server

fast-io

auth-nocache


kind regards,

sarge

Will do.

I also find the documentation/video from the original source:

https://www.max-it.de/adguard-dns-blocker-neues-opnsense-plugin/

He is showing it in an other way.
Going with an other port for AGH and leaving port from Unbound at 53.
Then making a NAT Port Forward to (in this video) 5310.

Why not choosing this way? Is there any downside?

The advantage would be, that the Firewall itself does not need to go through AGH and other networks, which I don't want to can also be Unbound only.

Hi! I started with this configuration a few days ago and at the moment it workes (OPNSense 23.1.7). I'm using another VLAN-Interface that I would like to remain untouched from ADGuard.

I'm looking for the right configuration for DoT, DoH, upstream, bootstrap DNS.

The goal would be:
- filtering rules for children (consideration of DoT, DoH)
- exceptions for Adults (ip addressess)
- additional VLAN interface untouched

any help or suggestions would be greatly appreciated!

kind regards,

Sarge

@Tiermutter,

bin gerade dabei mich bei ADGuard einzuarbeiten. Grundsätzlich läuft es schon mal mit NAT-Portforwarding DNS auf Port 53530 (ADGuard).

Darf ich fragen wie du ADGuard in Kombination Unbound DNS konfiguriert hast? Sprich Upstream- und Bootstrap-DNS Server ...

mfg,

Hallo tiermutter,

vielen Dank für die Erklärung und die Infos! Das hilft mir auf jeden Fall weiter in die richtige Richtung zu gehen ...

bedarf aber auch ein paar Änderungen an der Firewall selbst, damit nichts an dem Filter vorbeigeht (hardcoded DNS / DOH, DOT bzw. auch selbst eingestellte DNS, falls der Bengel auf die Idee kommt ;) ).

Ich habe früher nur die Geräte dorthin umgeleitet, auf die die Filter angewendet werden sollten, da meine Frau unbedingt Werbung sehen will, musste ich sie ausschließen. Heute wird alles zu AdGuard geleitet, für meine Frau (nur ihr Handy) wende ich dort keine Werbefilter an, sondern nur Malwarefilter.

Hallo! würde es im Prinzip genau so handhaben. Filter für die Kinder (das möglichst sicher) und Ausschluss von bestimmten Geräten da auch meine bessere Hälfte anscheinend die Werbung sehen will (warum auch immer :-)). Kannst du mir noch ein paar Tips geben wir du die "DNS-Problematik" gelöst hast bzw. welche Kombination du einsetzt und Manipulationen zu verhinden? Da muss ich mich erst noch schlau machen ...

danke und Grüße,

Sarge

Danke für die Input! ADGuard schau ich mir auf jeden Fall genauer an.

Unser Sohn verwendet zur Zeit ein (altes) iPad, erhält demnächst aber zusätzlich ein Windows Notebook (Schule). Der Filter muss deshalb auf jeden Fall geräteübergreifend eingestellt werden, für uns als Eltern werde ich wahrscheinlich den Filter etwas lockerer konfigurieren.


Grüße Sarge

Hallo,

mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.

Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.

Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins

viele Grüße,

Sarge

Ich nutze dafür HA Proxy. Funktioniert sehr gut. Wenn du es entsprechend konfigurierst, kannst du alles über 443 TCP laufen lassen (Bitwarden, Nextcloud,...) und SSL dort terminieren. Dann ist die Zertifikatsverwaltung einfacher.

Danke für den Tip! Ich werd erstmal Bitwarden_RS aufsetzen und mich danach dem Thema HA Proxy widmen :-)

mfg,

Hallo,

mir ging es eigentlich um einen Input in welche Richtung man gehen könnte/sollte um das Ganze bestmöglich abzusichern. Danach wird natürlich recherchiert [emoji4]

Mfg

Hallo,

ich fange gerade an mich mit dem Thema zu beschäftigen und möchte gerne auf einem Raspi 4 / 4GB Bitwarden_RS (Docker, Nginx, LetsEncrypt) laufen lassen. Das Ganze soll dann auch von extern erreichbar sein

Welche Empfehlung gibt es das ganze sicher zu machen? Eine einfache Portweiterleitung scheint mir nicht der richtige Weg zu sein. Auf dem Raspi sollte zudem noch ein weitere Docker Container laufen (UI controller)

Vielleicht kann mir jemand ein paar Tips geben damit ich ich den "richtigen" Pfad einschlage :-)

Vielen Dank!

mfg,

Sarge