Messages

1

21.7 Legacy Series / packets stuck/filtered inside vpn??

« on: January 26, 2022, 02:09:47 am »

Hello, i've got a problem,
my sense is connecting to a openvpn server and i want to route one special client over this connection.
This works fine but only if i enable outbound nat on the sense.
If i disable outbound nat, the client cant access internet through vpn and cant ping the server.

VPN: 10.250.0.1
Sense: 10.250.0.2
Client: 192.168.191.10
Pings:
VPN -> Sense = OK
Sense -> VPN = OK
Client -> Sense = OK
Sense -> Client = NOK
Client -> VPN = NOK
VPN -> Client = NOK

server.conf

Code: [Select]

port 54058
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.250.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 192.168.191.0 255.255.255.0
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_2jEVQSBICbe6x00i.crt
key server_2jEVQSBICbe6x00i.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3
ip routes vpn server

Code: [Select]

root@1becf65a:~# ip route get 10.250.0.2
10.250.0.2 dev tun0 src 10.250.0.1 uid 0
    cache

root@1becf65a:~# ip route get 192.168.191.1
192.168.191.1 via 10.250.0.2 dev tun0 src 10.250.0.1 uid 0
    cache
iptables server

Code: [Select]

iptables -A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
routes sense

Code: [Select]

10.250.0.0/24      10.250.0.1         UGS      ovpnc6
10.250.0.1         link#39            UH       ovpnc6
10.250.0.2         link#39            UHS         lo0
tcpdump on sense with ping from client to vpn server running

Code: [Select]

root@F1R3W4LL:~ # tcpdump -nn -i ovpnc6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpnc6, link-type NULL (BSD loopback), capture size 262144 bytes
01:55:31.543568 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 5, length 64
01:55:32.567544 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 6, length 64
01:55:33.591488 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 7, length 64
01:55:34.615450 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 8, length 64
01:55:35.639393 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 9, length 64
on the other side i get nothing

Code: [Select]

root@1becf65a:~# tcpdump -nn -i tun0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes
Looks like the packets are stuck inside the vpn or being filtered.
Has anyone an idea whats going on?
As i said, with enabled outbound nat, everything is working fine.

2

21.7 Legacy Series / Re: disable "Dynamic state reset" for VPN

« on: January 07, 2022, 02:23:59 am »

*on 22.1

On 22.1 what happens? Is there a solution to our problem?
Can you describe what has been changed and how to use it?

3

21.7 Legacy Series / Re: disable "Dynamic state reset" for VPN

« on: January 04, 2022, 11:08:44 pm »

I need to keep this enabled because of VoIP.
The connections need to be killed on new IP but only on PPPoE not on VPN.

4

21.7 Legacy Series / disable "Dynamic state reset" for VPN

« on: December 26, 2021, 04:35:59 pm »

Hey, i'm facing the same issue described here
https://forum.opnsense.org/index.php?topic=14946.0
is there a way to fix this?

thanks!

5

Tutorials and FAQs / [HOW TO] get domain search list under android working

« on: December 15, 2021, 07:50:30 pm »

Hello guys,
here a tutorial from me in English to get the domain search list under Android running.
As you may know, Android will not process or accept a from the dhcp server published domain search list.
The problem and the fix is described here:
https://www.manualslib.com/manual/1761369/Sennheiser-Mobileconnect.html?page=30

To get this running here the simple steps:
On the OPNsense WebIF select your desired network under Services -> DHCPv4
Domain name: PrimaryDomain <- note your domain
Domain search list: <your noted domain followed by the domains you want in search list, separated by semicolon>
Last item Additional Options -> click Advanced
Number: 15
Type: Text
Value: <your noted domain followed by the domains you want in search list, separated by spaces>
Click Save
Reconnect your Client and enjoy

Thanks to "micneu" for the "Additional Options hint"!

6

German - Deutsch / Re: Domain search list für Android lauffähig bekommen

« on: December 15, 2021, 07:39:27 pm »

Danke an "micneu" für den "Additional Options" Hinweis!

Hier die kurze Anleitung:
Auf dem OPNsense WebIF das entsprechende Netzwerk unter Services -> DHCPv4 auswählen
Domain name: PrimäreDomain <- Domain notieren
Domain search list: <deine notierte Domain gefolgt von denen die in der search list sein sollen, getrennt durch Semicolon>
Letzte Zeile Additional Options -> Advanced
Number: 15
Type: Text
Value: <deine notierte Domain gefolgt von denen die in der search list sein sollen, getrennt durch Leerzeichen>
Save
Die entsprechenden Clients reconnecten und freuen

7

German - Deutsch / Domain search list für Android lauffähig bekommen

« on: December 15, 2021, 12:53:39 pm »

Guten Tag,
Android kann wohl schon immer die DHCP Option 119 (Domain search list) nicht verstehen,
was darin resultiert, dass Android die zusätzlichen Domains nicht auflöst.
Ärgerlich!
Ich habe nun diese Seite gefunden:
https://www.manualslib.com/manual/1761369/Sennheiser-Mobileconnect.html?page=30
Wo steht, dass Android wohl zusätzliche Domains annimmt indem man sie über Option 15 mitgibt.

Nun meine Frage:
Gibt es eine Möglichkeit die Option 15 (Domain name) des DHCP Servers der sense manuell einzustellen?
Über das Webinterface bekomme ich den Fehler "A valid domain name must be specified for the DNS domain."

Wäre echt super!
Vielen Dank, MfG

8

German - Deutsch / Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense

« on: November 27, 2021, 02:49:51 am »

Hey, hat hier noch jemand seit ein paar Wochen Probleme mit 1und1?
An den Settings wurde nichts geändert, trotzdem gehen einige Anrufe (vor allem vom Festnetz aus) nicht rein.

Edit:
So, Problem gefunden.
Für alle die Probleme mit nicht eingehenden Anrufen haben:
Entweder hat es 1und1 geändert oder ein Fritzbox Update, und zwar...
1und1 nutzt (jetzt?) wohl 2 unterschiedliche SIP Server unter sip.1und1.de,
212.227.124.129 und 212.227.124.130.
Das Problem besteht darin, dass die Fritzbox nur zu einem der beiden eine Verbindung aufbaut und somit auch nur ein State für die Rückverbindung besteht.
Wenn jetzt die Fritzbox mit 212.227.124.129 verbunden ist, aber der Anruf von 212.227.124.130 rein kommt,
verwirft die Firewall der OPNsense logischerweise den INVITE, da ja kein State offen ist.
Meine Lösung: NAT Portforwarding
Interface: WAN
Protocol: UDP
Source: die beiden SIP Server IP's
Source port range: from SIP to SIP
Destination: WAN address
Destination port range: from any to any
Redirect target IP: IP Fritzbox
Redirect target port: SIP

Falls jemand eine elegantere Lösung hat, lasst es mich wissen.

9

21.1 Legacy Series / Dynamic state reset

« on: March 11, 2021, 12:35:43 am »

Hello guys,
I'm facing an issue that I can't seem to solve correctly and I'd love to get a tip of best practices:

I've 2 wans, one of them is a PPPoe and has it's target gateway changing from time to times. As I've a SIP PBX in the background, I've set the "Dynamic state reset" flat on the advance param. Unfortunatelly, this flag does not seem to be compatiple with the OpenVPN client that I use, as once the VPN client receives via DHCP an new ip, the states are reset and the connection is dropped.

Can I somehow enable the "Dynamic state reset" flag only for one interface? Or is there anoter way to achieve this ?
Thanks a lot in advance and best regards,

10

20.1 Legacy Series / Re: which mini pcie wifi adapter?

« on: May 10, 2020, 12:54:50 pm »

Dear Wired Life,

I have been looking also and stumbled across this, https://teklager.se/en/products/router-components/wle900vx-wireless-wifi-kit .

It has the card, the cables and the antennas.

I don't know if it works but after I finish learning about everything else it is my intention to order a kit to see how it works.

Regards

I think this wont work because it has a chipset which supports 802.11ac, these are not supported by freebsd.
For me its useless because i can only fit a half size card, and this is a full size.
For you i can say a WLE200NX works perfectly in a APU.
I have WLE200NX in my APU2C4 and it works, but this card wont fit in my new build OPNsense hardware.

11

20.1 Legacy Series / which mini pcie wifi adapter?

« on: May 10, 2020, 12:01:42 pm »

Hello,
i'm searching for a half size mini pcie wifi adapter which works with OPNsense.
Currently i'm having a card which does not work.

ath0: <Atheros 9285> mem 0xfea00000-0xfea0ffff irq 28 at device 0.0 on pci2
[ath] AR9285 Main LNA config: LNA1
[ath] AR9285 Alt LNA config: LNA2
[ath] LNA diversity disabled, Diversity disabled
ath0: [HT] enabling HT modes
ath0: [HT] 1 stream STBC receive enabled
ath0: [HT] 1 RX streams; 1 TX streams
ath0: AR9285 mac 192.2 RF5133 phy 14.0
ath0: 2GHz radio: 0x0000; 5GHz radio: 0x00c0
wlan0: changing name to 'ath0_wlan1'
ath0_wlan1: ieee80211_new_state_locked: pending RUN -> SCAN transition lost
ath0_wlan1: promiscuous mode enabled
ath0: device timeout

Can you recommend a half size mini pcie card or a chipset?
Alternative i can use a usb device.

Thanks!

12

German - Deutsch / Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense

« on: May 09, 2020, 01:13:59 pm »

Also ich habe das Problem, dass nach einer Zwangstrennung nur noch weniger als die Hälfte der Anrufe rein kommen und nach der zweiten Zwangstrennung gar keine mehr.
Dann hilft nur noch ein Neustart der Fritzbox oder der sense.
Ich hatte alles mögliche ausprobiert von Keepalive der Fritzbox über Firewall Modus der sense auf conservative ändern usw.
Bis mir eingefallen ist dass ich "Disable State Killing on Gateway Failure" aktiviert habe, was wohl dazu führt dass die States über die Zwangstrennung hinaus bestehen bleiben.

pftop -f 'port 5060'

PR        DIR SRC                                           DEST                                                   STATE                AGE       EXP     PKTS    BYTES
udp       In  192.168.10.2:5060                             212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       Out 87.123.137.224:5060                           212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       In  192.168.10.2:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14543  1821202
udp       Out 87.122.91.93:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14539  1821026
udp       In  192.168.10.2:5060                             212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146
udp       Out 87.123.137.224:5060                           212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146

Ich vermute, dass sowas nach Deaktivieren der Option nicht mehr passiert, allerdings killt er dann halt auch immer States die nichts mit der WAN Seite zu tun haben.
Drum werde ich mir nun einen Cronjob anlegen, der kurz nach der Zwangstrennung die VoIP States killt.
pfctl -k 0.0.0.0/0 -k 212.227.0.0/16

13

German - Deutsch / WG Site to Site nach Zwangstrennung

« on: May 01, 2020, 01:18:15 am »

Hey ho, ich habe seit geraumer Zeit ein WireGuard Site to Site Tunnel am laufen und nun öfter folgendes kurioses Problem:
Dadurch dass beide Seiten keine statische IP haben und zwangsgetrennt werden, habe ich ein Script geschrieben welches bei IP Wechsel die WireGuard Intanz neustartet um den DynDNS neuaufzulösen.
Das funktionierte auch ne Weile bis ich jetzt das Problem bekommen habe, dass er sich nicht neu verbindet.
Das lustige ist, dass wenn ich eine Teamviewer Verbindung (via ID) von Seite A zu Seite B aufbaue, sich plötzlich wie von Geisterhand der Tunnel von Seite B nach Seite A verbindet.
Gibt es eine Lösung ohne den States Reset bei Gateway Failure?
Das Internet reisst doch mal öfter ab und dass dann alle Verbindungen zurückgesetzt werden, auch in die anderen Subnetze ist eher kontraproduktiv.

14

German - Deutsch / Re: OpenVPN und IPv6

« on: December 31, 2019, 05:27:57 pm »

Jo, genau die beiden Probleme hab ich.
Tolle Sache -.-
Dann hilft wohl nur Abwarten oder sich was scripten.

Trotzdem Danke für die Links!

15

German - Deutsch / Re: OpenVPN und IPv6

« on: December 31, 2019, 12:47:39 am »

So ich hab jetzt meinem LAN Interface über VIP eine ULA zugewiesen und verteile das ULA Prefix via RA, das klappt.
Auch das Routing vom VPN auf das ULA Netz vom LAN.
Wenn ich jetzt bei NPTv6 von WAN mit dem aktuellen GUA Prefix auf das ULA Prefix des Tunnels route funktioniert sogar IPv6 Internet über den Tunnel.
Nun ist aber das Problem das selbe dass ja das GUA Prefix mit jeder Trennung wechselt und ich das nicht immer wieder neu eintragen will.
Kann mir da irgendjemand helfen?