Messages

Hi,

it use a longer time, but we repair the master node now.
But I still wonder how we take it back in use.

Cause there was many changes on the backup node we still need to transfer the changes from backup to master.

Or maybee it is an idea to work with the conf.xml and change all specified settings in it?

Thanks

Gregor

Hi,

after some problems we decide to switch of the master node.
Now we want to reuse it, but we did some chnages on rules etc. on the backup node while the master node was out.

How could I manage the situation?

Could I provide the backup node to master, after that I setup the old master to backup?

Or wat is the right way?

Thank You!

Gregor

Moin,

das ist mir jetzt echt peinlich :-(

Natürlich habe ich eine OPNSense am laufen.

Bitte den Fehler zu entschuldigen!

Gregor

Moin,

ich betreibe seit kurzem eine OPNsense als VM auf einem Proxmox VE.
Dem host hab ich eine Netzwerkarte eingebaut, diese wird über PCIe passthroug der OPNsense weitergereicht.

Über das Interface ist das Modem der Deutschen Glasfaser angebunden.

Den Aufbau habe ich gewählt, da über die ebenfalls verfügbaren FritzBox noch das Kabel von Vodafone genutzt wird.

So konnte ich die vor zwei Wochen geschaltete GF schon mal testen.
Die OPNsense bekam auch nach einer gewissen Wartezeit eine IPv4 zugewiesen. Der Vorgang dauerte schon recht lang.

Wir konnten etwa 2 wochen lang auch die OPNsense als GW nutzen, gestern Abend verlor die OPNsense ihre IPv4.
Auf der Shell kann ich die DHCP Requests nachvollziehen.

Starte ich die OPNsense neu, bleibt sie bei dem Punkt 'configuring WAN interface' hängen. Trenne ich das Netzwerkkabel, startet die VM durch.

Das ist jetzt auch erst mal mein eigentliches Problem. Kann ich das Hängenbleiben verhindern, ohne das Kabel zu trennen?

Grüße

Gregor

OK, ich sehe gerade, das die Zertifikate übertragen werden.

Ob es notwendig ist, die Plugin Settings zu übertragen,...?
Unter der Annahme das der Master immer nur temporär nicht zur Verfügung steht ist das wahrscheinlich 'a feature, not a bug'

Grüße

Gregor

Moin,

ich habe bei der Master OPNSense per acme Plugin ein Zertifikat generiert.

Frage: Kann ich die Einstellungen und die Zertifikate auf den Slave/Backup übertragen?
Gerne auch per ssh.

Grüße

Gregor

Hi,

I wonder if HA is possible with one WAN IP address.
For normal knowledge the additional IPs for WAN are necessary for get access from the specified opnsense to the Internet/repositorys.

When it is possible, that the main opnsense is the repository for the slave there is no need for 've an IP address on both opnsense?
The advantage is, when you have less static IP adresses.

Is there an solution for that?

I know it from other firewalls as sophos UTM SG.

Bye

Gregor

Moin,

Ja block private networks habe ich draußen.

Ich habe jetzt auf beiden Seiten mittels pkg install nmap nachinstalliert.
Mache ich von den jeweiligen opnsensen ein nmap sehe ich das im live log grün.

Hier mal die aktuellen Einstellungen:

Code Select Expand


siteA

Local Configuration
Name siteA2SiteB
Instance 1
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Private Key SNgkTgYs6O...
Listen Port 51820
Tunnel Address 10.11.0.1/24
Peers siteB

Endpoint
Name siteB
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Shared Secret XCEoiuHcO...
Allowed IPs 10.6.64.0/21 10.11.0.2/24
Endpoint Address 10.0.64.63
Endpoint Port 51820


siteB

Local Configuration
Name siteB2siteA
Instance 1
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Private Key aIIHiJYf...
Listen Port 51820
Tunnel Address 10.11.0.2/24
Peers siteA

Endpoint
Name siteA
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Shared Secret XCEoiuHcO...
Allowed IPs 10.5.64.0/21 10.11.0.1/24
Endpoint Address 10.0.64.61
Endpoint Port 51820

Auf beiden opnsensen habe ich per floating rule auf WAN den port 51820 freigegeben und logge dass. Das kann ich ja auch durch nmap sehen.
Ich habe den Eindruck, ich habe noch nicht mal einen Verbindungsversuch?

Das Handshake 0 bedeutet, keine Verbindung ist gut, habe ich mir natürlich auch schon gedacht.

[siteA]

Moin,

ich versuche an einem virtualisierten Setup auf Virtualbox Basis erste Erfahrung mit wireguard zu machen.

Ich habe zwei opnsense VMs erstellt:

siteA

WAN 10.0.64.61/24
LAN 10.5.64.1/24
Tunnel Address 10.11.0.1/24


siteB

WAN 10.0.64.63/24
LAN 10.6.64.1/24
Tunnel Address 10.11.0.2/24

Die VMs laufen im promiscuous Mode, für die WAN Schnittstelle.
Ich habe entsprechende Regeln für die WAN Schnitstelle erstellt:

ICMP, HTTPS (um von meinem Rechner aus dem WAN zu konfigurieren), 51820 (für Wireguard).
Außerdem hatte ich auch für einen IPSec Test die entsprechenden Ports freigegeben.

Die wireguard Einstellungen habe ich aus dem Wiki von Thomas Krenn übernommen.
Den lokalen Endpoint, den entferten Endpoint, Port, etc.

Wenn ich von meinem Rechner aus ein nmap -sU 10.0.64.63 -p 51820 bzw. nmap -sU 10.0.64.61 -p 51820 durchführe kann ich auf den beiden FWs sehen, das Verkehr passiert.

Beim Status der wireguard Verbindung wird mir flogendes angezeigt:

Code Select Expand


interface: wg1
  public key: SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
  private key: (hidden)
  listening port: 51820

peer: V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
  preshared key: (hidden)
  endpoint: 10.0.64.63:51820
  allowed ips: 10.6.64.0/21, 10.11.0.0/24

Handshakes
wg1 V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k= 0

Eingehenden Verkehr auf Port 51820 des jeweiligen WAN Interface habe ich nicht.

Wie debugge ich das jetzt am besten?
Kann ich von einer opnsense zur anderen auch ein nmap machen? Unter den debuggin Tools habe ich nichts gesehen.
Woran erkenn ich, ob eine wireguard Verbindung aufgebaut wurde?

Ach ja, mit IPSec hat die Verbindung recht reibungslos funktioniert, ICMP zwischen den opnsense funktioniert auch,...

Grüße

Gregor

Moin,

sollte die Tunneladresse nicht ein host sein und kein Netzwerk?

Grüße

Gregor

Danke für die Rückmeldung!

IPv6 hatte ich auch im Verdacht.
Ich hatte aber bei der interface Konfiguration IPv6 eigentlich nicht aktiviert,...

Allerdings habe ich mitlerweile doch eine frische Installation durchgeführt, und es läuft,...

Grüße

Gregor

Hmm,..

Code Select Expand


***GOT REQUEST TO AUDIT CONNECTIVITY***
Currently running OPNsense 22.7 (amd64/OpenSSL) at Fri Nov 11 08:22:24 UTC 2022
Checking connectivity for host: pkg.opnsense.org -> 89.149.211.205
PING 89.149.211.205 (89.149.211.205): 1500 data bytes

--- 89.149.211.205 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Checking connectivity for repository (IPv4): https://pkg.opnsense.org/FreeBSD:13:amd64/22.7
Updating OPNsense repository catalogue...
Fetching meta.conf: . done
Fetching packagesite.pkg: .......... done
Processing entries: .......... done
OPNsense repository update completed. 810 packages processed.
All repositories are up to date.
Checking connectivity for host: pkg.opnsense.org -> 2001:1af8:4f00:a005:5::
ping: UDP connect: No route to host
Checking connectivity for repository (IPv6): https://pkg.opnsense.org/FreeBSD:13:amd64/22.7
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/22.7/latest/meta.txz: Non-recoverable resolver failure
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/22.7/latest/packagesite.pkg: Non-recoverable resolver failure
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/22.7/latest/packagesite.txz: Non-recoverable resolver failure
Unable to update repository OPNsense
Error updating repositories!
***DONE***


Warum sagt mir die Abfrage alles ist aktuell wenn ich bei der Verbindungsprüfung diese Meldung erhalte,...

Noch seltsamer ist es, das ich von der opnsense Konsole den host anpingen kann,...
Ja ich habe bei der Testinstallation schon etwas herumgespielt und könnte erst noch einmal einen Systemreset machen oder das System neu aufsetzen. Aber momentan ist mein Entdeckergeist noch wach. Außerdem möchte ich das am liebsten nachvollziehen, um im späteren Produktivbetrieb umgehen zu können.

Grüße

Gregor

Moin,

ich habe zum testen eine opnsense installiert.
Unter status wird mir 22.7 angezeigt.

Im changelog sehe ich, dass es auch Version 22.7.7 gibt, die plugins meckern auch das meine opnsens nicht aktuell ist.

Gehe ich jetzt aber auf check for updates werden die mirrors durchsucht und danach erhalte ich die Nachricht das keine aktuelleren Pakete auf dem Mirror vorhanden sind?

Ich habe auch schon mal versucht den mirror oder das Flavor zu wechseln, ohne Erfolg.
Wechsel ich von community zu development erhalte ich zu aktualisierende Pakete, also müsste es doch grundsätzlich funktionieren?

Grüße

Gregor

Moin,

ich beschäftige mich mal wieder mit OPNsense.
Ist mit der OPNSense folgendes möglich, ich nenne das mal Kontobasierte Aliase:

openVPN Benutzer bekommen automatisch eine IP, Berechtigungen kann ich über den Kontonamen einrichten.
Das Feature kenne ich aus den watchguard Firewalls und empfand es immer als sehr komfortable.

Bei pfsense und OPNsense habe ich die Erinnerung, das ich relativ aufwendig einem Konto/Endgerät eine feste IP zuordnen muss, danach kann ich manuell ein Alias anlgen und diesen verwenden,...

Ist das bei eingehenden openVPN Verbindungen immer noch so aufwendig?

Grüße

Gregor