Messages

for who it may concern, after updating our backup box, it could not be reached on any interface anymore. Several reboots didn´t help so we reversed to factory settings and reinstalled our latest config backup. Now we´re happy again... (what was the frase, no backup - no sympathy...)

könnte es an ein nicht funktionierende IPv6 liegen? Eventuell wird zuerst mit IPv6 eine Namensauflösung versucht um die Daten herunter zu laden und weill das nicht geht, wird nach ein Timeout auf IPv4 umgeschaltet...

bei uns haben wir keine Probleme mit diese Version und PPPoE. Auch in den Log-Files finden wir solche Einträge nicht. Die default (ausgeblendete) ICMPv6 Freigabe-Regeln sind (neu?) unter Floating zu finden. Vage errinnere ich mich, dass sie in frühere Versionen auf die jeweilige Schnittstellen zu finden waren, kann mich aber täuschen...

Kann es sein, dass deine manuell eingetragene Regeln mit den defaults von OPNsense kollidieren?

nicht das ich der ipv6 guru bin aber da du vom provider ja schon ein /60 delegation bekommst, solltest du das auch am WAN so einstellen. Der Sense müsste dann automatisch ein der /64 Blöcke auf der LAN Seite zuweisen.

Dein /60 Prefix erlaubt dir Adressen zwischen

Erste IP:   2001:171b:226e:d7e0:0000:0000:0000:0000
Letzte IP:   2001:171b:226e:d7ef:ffff:ffff:ffff:ffff

Der Sense wird hieraus dann für dein LAN entweder 2001:171b:226e:d7e1:: , 2001:171b:226e:d7e2:: , 2001:171b:226e:d7e3:: usw. bis 2001:171b:226e:d7ef:: delegieren.
Das Routing sollte dann auch funktionieren.

ich bin nicht sicher aber meine mich vage zu errinnern, dass man eigene Regeln einrichten muss um von OVPN ins LAN zu gelingen. Also zB IPv4 von 10.8.87.0/24 nach LAN Netzwerk erlauben auf das OVPN Interface.
Ein einfaches alles nach alles ging bei uns nicht...

bei uns sind unter System-Sicherheit-Aussteller noch das Chainzertifikat und die Serverzertikate der AD Server hinterlegt. Im Wiki steht, dass nur das Chainzertifikate benötigt wird, weshalb wir die Server ebenfalls dort haben weis ich nicht mehr. Die AD Server werden dann mit SSL auf Port 636 angebunden und das funktioniert tadellos.

für eine AD Anbindung muss unter System-Sicherheit-Aussteller das Root- bzw. Chainzertifikat der AD Server importiert werden. Wir haben (weshalb weis ich nicht mehr) auch die Serverzertifikate dort hinterlegt. Vielleicht ist das dein problem?

Sorry hab ich übersehen. Unsere Konfiguration ist schon eine Weile her aber ich erinnere mich vage, dass ich den Eintrag manuell eingeben musste... Es hat damals auch nicht auf Einmal geklappt.

hast du unter System-Einstellungen-Authentifizierung die LDAP Server auch ausgewählt? (mehrfach ist möglich, aber aufgepasst, die lokale Authentifizierung sollte man tunlichst nicht deaktivieren)

well, after lots of hair-pulling it works. there was no ipv6 default route set on the test machine...

the license key was only setup to do this test and is removed now, thanks for hinting  ;)
Ive deleted all geoblock rules and created them anew, waiting now for the updates...

after updating to 19.7.9_1, creating an account with mindmap, generating a license key and entering the url,
we still (after 3 days) have not been able to retrieve the zip file.

testing with python from the cli we see the following errors popping up:

Code Select Expand


Python 3.7.6 (default, Jan  7 2020, 01:19:35)
[Clang 6.0.0 (tags/RELEASE_600/final 326565)] on freebsd11
Type "help", "copyright", "credits" or "license" for more information.
>>> from geoip import download_geolite
>>> download_geolite()
Traceback (most recent call last):
  File "/usr/local/lib/python3.7/site-packages/urllib3/contrib/pyopenssl.py", line 485, in wrap_socket
    cnx.do_handshake()
  File "/usr/local/lib/python3.7/site-packages/OpenSSL/SSL.py", line 1915, in do_handshake
    self._raise_ssl_error(self._ssl, result)
  File "/usr/local/lib/python3.7/site-packages/OpenSSL/SSL.py", line 1639, in _raise_ssl_error
    raise SysCallError(errno, errorcode.get(errno))
OpenSSL.SSL.SysCallError: (32, 'EPIPE')

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py", line 672, in urlopen
    chunked=chunked,
  File "/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py", line 376, in _make_request
    self._validate_conn(conn)
  File "/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py", line 994, in _validate_conn
    conn.connect()
  File "/usr/local/lib/python3.7/site-packages/urllib3/connection.py", line 394, in connect
    ssl_context=context,
  File "/usr/local/lib/python3.7/site-packages/urllib3/util/ssl_.py", line 370, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "/usr/local/lib/python3.7/site-packages/urllib3/contrib/pyopenssl.py", line 491, in wrap_socket
    raise ssl.SSLError("bad handshake: %r" % e)
ssl.SSLError: ("bad handshake: SysCallError(32, 'EPIPE')",)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/lib/python3.7/site-packages/requests/adapters.py", line 449, in send
    timeout=timeout
  File "/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py", line 720, in urlopen
    method, url, error=e, _pool=self, _stacktrace=sys.exc_info()[2]
  File "/usr/local/lib/python3.7/site-packages/urllib3/util/retry.py", line 436, in increment
    raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='download.maxmind.com', port=443): Max retries exceeded with url: /app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=<KEY>&suffix=zip (Caused by SSLError(SSLError("bad handshake: SysCallError(32, 'EPIPE')")))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/local/opnsense/scripts/filter/lib/geoip.py", line 62, in download_geolite
    r = requests.get(url)
  File "/usr/local/lib/python3.7/site-packages/requests/api.py", line 75, in get
    return request('get', url, params=params, **kwargs)
  File "/usr/local/lib/python3.7/site-packages/requests/api.py", line 60, in request
    return session.request(method=method, url=url, **kwargs)
  File "/usr/local/lib/python3.7/site-packages/requests/sessions.py", line 533, in request
    resp = self.send(prep, **send_kwargs)
  File "/usr/local/lib/python3.7/site-packages/requests/sessions.py", line 646, in send
    r = adapter.send(request, **kwargs)
  File "/usr/local/lib/python3.7/site-packages/requests/adapters.py", line 514, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='download.maxmind.com', port=443): Max retries exceeded with url: /app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=<KEY>&suffix=zip (Caused by SSLError(SSLError("bad handshake: SysCallError(32, 'EPIPE')")))
>>>

it looks like there is a problem starting a ssl session from python but as we`re no python specialists...

The download from a browser work fine by the way so the url is working correctly.
Edit (fabian) remove license key and add code tags

same here, delete pid and reboot works. can this have something to do with the fact that the /var/run/zabbix directory (and pid) have user-group set to zabbix:zabbix?

Hi all,
since 19.1.8 we see that after the daily restart of our wan link (pppoe) all 7 tunnels come back up again but the routes to those tunnels are missing. We have to recycle strongswan to get the entries back.

An additional cron-job could do this but there is no option for such a target right now.

hola Cristhian
para connectar con AD necesitas de importar el CA desde el servidor AD en opnsense.
ademas hemos importado los certificados de todos nuestro servidores pero no pienso que eso seria necesario.

un saludo