Messages

Hallo allerseits

Ich beschäftige mich gerade mit den Geräten von Protectli.

TPM: Einige der Boxen kann man mit einem TPM bestücken.
https://kb.protectli.com/kb/tpm-on-the-vault/
Weiss jemand, ob dahingehend irgendwelche OPNsense-Entwicklungsbestrebungen bestehen? Bis auf folgende feature requests habe ich nichts in diese Richtung gefunden.
https://github.com/opnsense/src/issues/159

Erweiterte Sicherheitsfunktionen. Zitat: "Our recommendation: If security is important, we recommend coreboot in general and the advanced security features available on the Vault Pro Series."
https://eu.protectli.com/buyers-guide/#security
Ich bin mir nicht sicher, ob mit den "advanced security features" die "coreboot Security Features" gemeint sind. Denn diese scheinen wiederum nur bei einer Teilmenge der Vault Pro series implementiert zu sein.
https://kb.protectli.com/kb/coreboot-security-features/
Weiss da jemand mehr dazu?

Bei diesen Boxen (VP4600 series und VP2420) wird auch die Intel ME standardmässig (nur soft) deaktiviert. Was mich auf die Idee bringt zu fragen, ob sich jemand von euch schon mal mit dem Thema Intel ME deaktivieren per "HAP / AltMeDisable bit (aka disabling ME)" beschäftigt hat?
https://docs.dasharo.com/osf-trivia-list/me/#HAP

Option 4 only if you can live without community client. Not for me. At least not on my Windows machine, because (at least):
1. No support for multiple, simultaneous connections (occasionally useful for admins).
2. No support for the Wintune driver (as long as OPNsense/FreeBSD does not support OpenVPN Data Channel Offload (DCO)).

And further, if someone wants to password protect their client certificate, they can't use the Connect Client either.

Ah, now I see more clearly, thanks for the clarification regarding OpenSSL 3.

Let me sort that out then. So users using the community client have the following options until OPNsense moves to OpenSSL 3. Clarifications and additions are welcome.

1. Stay with client version 2.5.x as long as support is guaranteed (July 2023?).
https://community.openvpn.net/openvpn/wiki/SupportedVersions

2. Use client version 2.6.x, with "providers legacy default" in client config.

3. Choose export type "File only", without possibility to protect the user certificate and private key with a password.

Hello,
I am dealing with the same issue.

I think the problem is that when using "export as archive" the user certificate is somehow exported "wrong". At least it doesn't work anymore with the Community Client from version 2.6 on. The client log says "Decoding PKCS12 failed. Probably wrong password or unsupported/legacy encryption".

If you do the export as a file, then it works as it should.

According to the following document, the file variant seems to be the preferred one anyway, because it works with almost all OpenVPN clients.
https://openvpn.net/vpn-server-resources/extracting-separate-certificate-files-for-a-user/
I think I'll switch to this variant, I don't see anything that would speak against it.

I wonder if the export as archive has to be improved anyway, so that it works with OpenVPN 2.6? For which scenario is this used in practice?

Die 7360 und 7390 sind direkt mit dem Internet verbunden oder sind noch andere Geräte dazwischen?

Kann als Vorlage für eine .cfg-Datei für den Import auf der Fritz!Box verwendet werden. Die Kommentare würde ich entfernen.

Code Select Expand


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Ziel-Hostname"; # Standort der Sense
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "Ziel-Hostname"; # Standort der Sense
                localid {
                        fqdn = "Mein-Hostname"; # Standort der FritzBox
                }
                remoteid {
                        fqdn = "Ziel-Hostname"; # Standort der OPNsense
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Sicheres Passwort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0; # (IP-Bereich Seite FritzBox)
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.20.0; # (IP-Bereich Seite OPNsense)
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.20.0 255.255.255.0"; # IP-Bereich Seite OPNsense, Zugriffsrechte
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Hallo

Ich habe eine OPNsense mit folgender IPSec-Konfiguration. Verbindung mit einer FritzBox 5490. Vorher war's eine 7390 mit der selben Konfiguration, wenn ich das noch recht in Erinnerung habe.

Phase 1
Connection method: Start on traffic
Key Exchange version: V1
Internet Protocol: IPv4
Interface: WAN
Remote gateway: Ziel-Host
Authentication method: Mutual PSK
Negotiation mode: Aggressive
My identifier: Distiguished name: Mein-Hostname
Peer identifier: Distiguished name: Ziel-Hostname
Pre-Shared Key: Sicheres Passwort
Encryption algorithm: AES256
DH key group: 2 (1024 bits)
Lifetime: 28800
Install policy: checked
Dead Peer Detection: checked, 10 seconds, 5 retries, default DPD action

Phase 2
Mode: Tunnel IPv4
Local Network Type: Some subnet
Remote Network Type: Some network
Protocol: ESP
Encryption algorithms: AES256
Hash algorithms: SHA512
PFS key group: 2 (1024 bits)
Lifetime: 3600

Entsprechende Firewallregeln werden natürlich auch noch benötigt.

Exactly, that's what I mean. Franco was talking about a swap file, but I don't think I quite understand what he means.

But anyway, what I would be very interested in is if there is a recommendation for a minimum size for the swap partition in a ZFS installation. Or in other words, are my 2 GB too small? Should I expect problems?

Hmm, the swap dialog was hidden because it was decided to make auto-install as snappy as possible. seeing zfs being squeezed into tiny systems we might as well make the swap dialog get in the way of every zfs install, likely to the disadvantage of people avoiding the swap partition altogether.

While a swap file can be used, a swap file cannot hold a crash dump. This is what matters...

I meant to have read that with ZFS generally no swap file can be used?

Anyway, from a technical point of view, is there anything against making the swap partition only 2 GB in size for a ZFS installation?

Hi Franco,
does this statement also apply to mini installations like APU2 boards with a 16 GB or 32 GB SSD?
https://forum.opnsense.org/index.php?topic=28059.msg136292#msg136292

Is there anything against using only a 2 GB swap partition in such a setting? Or what do you recommend for this case?

[Datei]

Ah ja, danke, ich lese gerade, dass Swap-Dateien generell nicht von ZFS unterstützt werden. Somit sollte man sich bei der Installation entscheiden, ob man eine Swap-Partition anlegen will oder nicht.

Du verwechselst da was. Eine Swap-Datei innerhalb des ZFS sollte man nicht verwenden. Eine Swap-Partition außerhalb von ZFS dagegen sehr wohl. Ich würde eine von 2-4 GB Größe anlegen.

Ähm, genau so meine ich das ja auch.
Eine Swap-Datei kann man ja jederzeit ohne Aufwand via GUI erstellen und einhängen, ohne etwas an den Partitionen ändern zu müssen. Aber dies sollte man beim Einsatz des ZFS-Dateisystems nicht machen, wie Du korrekt erwähnst. Das wäre auch noch ein feature request: Die Option Swap-Datei erstellen beim Einsatz von ZFS im GUI ausblenden.
Eine Swap-Partition hingegen erstellt man am besten gleich bei der Installation, wenn man nicht nachträglich "rumbasteln" will. Und hierbei wäre eine Auswahlmöglichkeit nett, ob man diese überhaupt will und wie gross sie sein soll.

Ah ja, danke, ich lese gerade, dass Swap-Dateien generell nicht von ZFS unterstützt werden. Somit sollte man sich bei der Installation entscheiden, ob man eine Swap-Partition anlegen will oder nicht.

Ich bin gerade mit dem Installer am rumprobieren. Wenn man "Other Modes / Extendet Installation" --> "Auto (ZFS) / Guided Root-on-ZFS" wählt, dann wird standardmässig eine 2 GB Swap-Partition vorgeschlagen. Wenn man dort 0 GB eingibt, wird wiederum eine Swap-Partition mit 8 GB angelegt.
Um eine ZFS-Installation ohne Swap-Partition zu bekommen, könnte man wohl via "Manual / Manual Disk Setup (experts)" zum Ziel kommen. Das ist mir aber zu zeitaufwändig. Falls jemand eine Anleitung zur Hand hat, gerne her damit.

In all den Jahren, in denen ich mit diesen APU2-Boxen mit 4 GB RAM arbeite, bin ich mit meinen bescheidenen Settings noch nie in Verlegenheit gekommen, eine Swap-Datei anlegen zu müssen.

Lange Rede, kurzer feature request: Bei der voll- und halbautomatischen ZFS-Installation wäre eine Option "Create a Swap-Partiton": yes/no und ggf. Size nett. Oder zumindest bei der vollautomatischen Variante die Grösse für die Swap-Partiton ebenfalls auf einen sinnvollen Wert festlegen, je nach Speicherkapazität des Datenträgers und/oder installierten RAM.

Hallo allerseits

Die Pro-Argumente für das ZFS-Dateisystem (u. A. hier: https://forum.opnsense.org/index.php?topic=21163.30) haben mich dazu veranlasst, eine APU2 mit 4 GB RAM und einer 16 GB SSD entsprechend zu installieren. Dabei habe ich die Standardeinstellungen des Installationsassistenten verwendet.

Das Ergebnis sieht so aus:

Code Select Expand

Memory usage: 24 % (1005/4035 MB)

SWAP usage: 0 % (0/8192 MB)

Disk usage:
15% / [zfs] (911M/6.0G)
1% /boot/efi [msdosfs] (1.8M/260M)
0% /tmp [zfs] (652K/5.1G)
0% /zroot [zfs] (96K/5.1G)
0% /var/mail [zfs] (136K/5.1G)
0% /var/audit [zfs] (96K/5.1G)
0% /usr/ports [zfs] (96K/5.1G)
5% /var/log [zfs] (291M/5.4G)
0% /var/tmp [zfs] (96K/5.1G)
0% /usr/src [zfs] (96K/5.1G)
0% /usr/home [zfs] (96K/5.1G)
0% /var/crash [zfs] (96K/5.1G)
0% /var [tmpfs] (36M/11G)
0% /tmp [tmpfs] (200K/11G)

Drei Fragen dazu:
1. Der Installer erzeugt eine relativ grosse Swap-Partition. Braucht es die spezifisch für ZFS und wenn ja, ergibt es aus technischer Sicht Sinn, wenn diese so gross ist? Randbemerkung: Wenn man unter System --> Settings --> Miscellaneous "Add a 2 GB swap file to the system" angehakt, dann wird neben der Swap-Partition eine zusätzliche Swap-Datei erstellt.

2. Ergibt es aus technischer Sicht Sinn, wenn man beim Einsatz einer so kleinen SSD für /var und /tmp eine RAM-Disk verwendet zur Erhöhung der SSD-Lebensdauer?

3. Ein Blogger meint, dass gewisse Volumes für OPNsense "nicht unbedingt zweckmäßig" seien und entfernt diese kurzerhand (https://ip6.li/de/howto/bsd/opnsense-mit-zfs). Was meinen die Experten dazu? Kosmetik? Kontraproduktiv? Feature request?

Gruss, Stefan

PS: Ein Widget für das Dashboard scheint es auch (noch) nicht zu geben. Wäre nett, wenn das wieder verfügbar wäre. So sieht man auf einen Blick ob das auf einer Box läuft und wie der aktuelle Status ist.

Hab es inzwischen nochmals auf einer Box mit der aktuellen Version 22.1.2_1 getestet. Funktioniert immer noch nicht.