Messages

1

German - Deutsch / Re: Routing in VPN Client

« on: August 01, 2016, 09:55:29 pm »

Ja - das wäre die Option - nur ist die Frage was genau gewünscht ist. Und dann auch wo es klemmt.

traceroute (Windows: tracert) ist schonmal ein wichtiges Hilfsmittel um zu sehen wo es hängt.

Ich gehe von Gateway und Firewall Einstellungen aus.

Andreas

2

German - Deutsch / Re: Routing in VPN Client

« on: July 31, 2016, 02:19:14 am »

Also ich hab es auch nicht ganz verstanden - bitte stelle es schematisch besser dar.

So wie ich es verstehe baust du eine OpenVPN Verbindung auf und willst von deinem LAN aber nur noch über die VPN Verbindung surfen?

Dann benötigst du NAT - oder auf der gegenüberliegenden Firewall passende Rückrouten. Außerdem müssen die Firewall Regeln entsprechend gesetzt werden.

3

German - Deutsch / Re: OPNSense - Kritische Hinterfragung

« on: July 31, 2016, 02:13:41 am »

Ist schon peinlich wenn der "vermeintliche" Hersteller die verwendete Lizenz nicht kennt oder anerkennt...

Und die Art und weise wie da auf Twitter geschrieben wird ist einfach nur peinlich.

Es war offensichtlich eine gute Wahl zu OPNsense zu wechseln - mit so einem Verhalten will ich nichts zu tun haben!

Grüße
Andreas

4

German - Deutsch / Re: IPSEC - Verständnisfrage Tunnelkonfiguration

« on: July 31, 2016, 01:59:44 am »

Sofort Starten bedeutet dass er beim Start von IPsec sofort gestartet wird.
Wenn er dauerhaft Online bleiben soll verwende ich in Phase 2 immer die Ping Funktion - dann bleibt der Tunnel online/wird wieder aufgebaut.

Grüße
Andreas

5

German - Deutsch / Re: IPSEC - Verständnisfrage Routing / Regeln

« on: July 31, 2016, 01:57:51 am »

Also - die Firewall Regel lässt Datenverkehr von Intern auf IPSEC zu. Das reicht nicht aus, der Rückweg muss auch erlaubt sein:

IPv4 * * * * * * zum Testen ist ein Anfang.

Routing bei IPsec ist nochmal ein anderes Thema. Unter System/Routen/Alle siehst du alle Routing Einträge - da sollten auch die für die definierten IPsec Verbindungen drin stehen und auf die IP Adresse des angegenben Öffentlichen Interfaces zeigen.
Eine Route auf das IPsec "Interface" gibt es nicht. Es ist nicht einfach nur ein Interface - die Firewall Regel gilt generell für IPsec Verbindungen.

Die IPsec Tunnel werden immer an das jeweils angegebene Interface gebunden. Üblicherweise WAN (DSL oder was auch immer). Sind denn Phase 1 und Phase 2 Einträge im IPsec erstellt?

6

German - Deutsch / Re: AESNI

« on: July 31, 2016, 01:37:59 am »

Und danke an Wurmloch für die Links...

7

German - Deutsch / Re: AESNI

« on: July 31, 2016, 01:36:43 am »

Danke Franco.

Hab mir hier schon den Schädel zermartert warum man das bei OpenSSL nicht sieht.

Also mit dem bereits geladenen aesni Modul sollten OpenVPN und IPsec darauf zugreifen können.

Grüße
Andreas

8

German - Deutsch / AESNI

« on: July 30, 2016, 12:43:26 am »

Hallo zusammen,

ich habe eine OPNsense auf KVM laufen. SandyBridge CPU und SandyBridge Funktionen an die VM durchgereicht.

Code: [Select]

CPU: Intel Xeon E312xx (Sandy Bridge) (3400.03-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x206a1  Family=0x6  Model=0x2a  Stepping=1
  Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
  Features2=0x9ef82203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
  AMD Features=0x2c100800<SYSCALL,NX,Page1GB,RDTSCP,LM>
  AMD Features2=0x21<LAHF,ABM>
  XSAVE Features=0x1<XSAVEOPT>

....

aesni0: <AES-CBC,AES-XTS> on motherboard

Die CPU Features werden richtig durchgereicht, aesni0 wird auch geladen. Aber wenn ich Teste wird es nicht angezeigt:

Code: [Select]

/usr/bin/openssl engine -t -cergibt:

Code: [Select]

(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]

Wie kann ich aesni richtig aktivieren? Unter System/Einstellungen/Verschiendenes ist unter Hardware die AES-NI aktiviert.

Nachtrag - openssl und libressl - habe ich versucht.

Grüße
Andreas

9

16.7 Legacy Series / Re: Nat is not working

« on: July 29, 2016, 10:33:47 am »

It was 2.3.0 pfsense. Changed the version tag in the config.xml to 11.2 and imported it to opensense.

I'll send you the config.xml.

Luckily it's both kvm virtual machines - I'm online on the pfsense again.

Regards

10

16.7 Legacy Series / Re: Nat is not working

« on: July 29, 2016, 01:09:43 am »

I have the same with 2 installations - both with a migrated configuration of pfsene.
It worked fine before the 16.7 update.

Basically the firewall rules are not working - the interfaces are not showing up in the firewall config (e.g. LAN, WAN, etc.) - OpenVPN and IPSEC are the only listed interfaces.

Please find my screenshots attached.