Messages

Mea culpa.

Und vielen Dank für die Richtigstellung.
Ich habe tatsächlich nur auf den Status geschaut, ohne einen Ping oder ähnliches Laufen zu lassen,...

Nachdem ich für den Peer den Parameter keepalive gesetzt habe, einfach mal auf 3 Sekunden, wird der Tunnel aufgebaut.

Jetzt sehe ich im Firewall Live Log auch eingehenden Verkehr auf Port 51820,...

Warum ich den Parameter setzen muss erschließt sich mir noch nicht, in den Tutorials wurde das nicht gemacht.

Moin,

Ist das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.

Ja, für dieverse Tests betreibe ich das lokal, ich teste hier verschiedene Setups.
"Block private networks" ist ausgeschaltet.

Und ggf. "Force gateway" ausschalten.

Die Stelle Option finde ich nicht, ist die ebenfalls direkt am WAN Interface?

Moin,

ich versuche zwischen zwei virtualisierten OPNsense eine Wireguard Verbindung zu erstellen:

envA
WAN 192.168.211.206

envB
WAN 192.168.211.159


Die Verbindung setze ich nach https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html auf.

Ich denke, das ich die Instanz und die Peers richtig konfiguriert habe.
Was ich momentan nicht feststellen kann ist, dass auf den FWs kein eingehender UDP Verkehr auf dem port 51820 entsteht. Ich habe die Freigaberegel im log, ein nmap von einem anderen Gerät wird auch geloggt.

Ich habe schon ganz verschiedene Setups versucht, mit zugewiesenen Interface als auch ohne.
Und diverse andere Sachen und Freigaben.

Die jeweiligen peers zeigen natürlich auf die WAN IP der Gegenseite, aber wie geloggt, scheint da kein Verkehr anzukommen?
Die VMs sind mit der aktuellsten 25.7.5 versehen.

Grüße

Gregor

Hmm, momentan funktioniert es, ich habe noch mal alle Instanzen gesynct.

Evtl. war eine Einstellung noch nicht auf den HA Backup übertragen,...

Moin,

ich teste (virtuell) gerade ein Setup mit insgesamt 4 opnsense FWs , jeweils zwei pro virtueller Umgebung.
Ziel ist ein HA Setup mit entsprechenden CARP VirtIPs und einem IPSec Tunnel.

Der Grundaufbau ist kein Problem, die Definition der einzelnen Netze und das einrichten der VirtIPs nebst HA funktioniert tadelos.

Der Grundlegende Aufbau der IPSec Verbindung funktioniert ebenfalls.

Was nicht funktioniert ist der automatische Wiederaufbau der IPSec Verbindung im HA Fall.

Getestet habe ich das manuelle Herunterfahren oder auch eine Neustart der jeweiligen HA Master FW.

Die Übernahme der VirtIP klappt, der Tunnel wird nicht automatisch wieder übernommen, erst manuell kann ich ihn wieder starten.

Ich habe jetzt schon verschiedene Einstellungen versucht, bin aber noch zu keinem zufriedenstellenden Ergebnis gekommen.

Hat jemand ein entsprechendes Setup am laufen und es funktioniert?

Grüße

Gregor

Hi,

it use a longer time, but we repair the master node now.
But I still wonder how we take it back in use.

Cause there was many changes on the backup node we still need to transfer the changes from backup to master.

Or maybee it is an idea to work with the conf.xml and change all specified settings in it?

Thanks

Gregor

Hi,

after some problems we decide to switch of the master node.
Now we want to reuse it, but we did some chnages on rules etc. on the backup node while the master node was out.

How could I manage the situation?

Could I provide the backup node to master, after that I setup the old master to backup?

Or wat is the right way?

Thank You!

Gregor

Moin,

das ist mir jetzt echt peinlich :-(

Natürlich habe ich eine OPNSense am laufen.

Bitte den Fehler zu entschuldigen!

Gregor

Moin,

ich betreibe seit kurzem eine OPNsense als VM auf einem Proxmox VE.
Dem host hab ich eine Netzwerkarte eingebaut, diese wird über PCIe passthroug der OPNsense weitergereicht.

Über das Interface ist das Modem der Deutschen Glasfaser angebunden.

Den Aufbau habe ich gewählt, da über die ebenfalls verfügbaren FritzBox noch das Kabel von Vodafone genutzt wird.

So konnte ich die vor zwei Wochen geschaltete GF schon mal testen.
Die OPNsense bekam auch nach einer gewissen Wartezeit eine IPv4 zugewiesen. Der Vorgang dauerte schon recht lang.

Wir konnten etwa 2 wochen lang auch die OPNsense als GW nutzen, gestern Abend verlor die OPNsense ihre IPv4.
Auf der Shell kann ich die DHCP Requests nachvollziehen.

Starte ich die OPNsense neu, bleibt sie bei dem Punkt 'configuring WAN interface' hängen. Trenne ich das Netzwerkkabel, startet die VM durch.

Das ist jetzt auch erst mal mein eigentliches Problem. Kann ich das Hängenbleiben verhindern, ohne das Kabel zu trennen?

Grüße

Gregor

OK, ich sehe gerade, das die Zertifikate übertragen werden.

Ob es notwendig ist, die Plugin Settings zu übertragen,...?
Unter der Annahme das der Master immer nur temporär nicht zur Verfügung steht ist das wahrscheinlich 'a feature, not a bug'

Grüße

Gregor

Moin,

ich habe bei der Master OPNSense per acme Plugin ein Zertifikat generiert.

Frage: Kann ich die Einstellungen und die Zertifikate auf den Slave/Backup übertragen?
Gerne auch per ssh.

Grüße

Gregor

Hi,

I wonder if HA is possible with one WAN IP address.
For normal knowledge the additional IPs for WAN are necessary for get access from the specified opnsense to the Internet/repositorys.

When it is possible, that the main opnsense is the repository for the slave there is no need for 've an IP address on both opnsense?
The advantage is, when you have less static IP adresses.

Is there an solution for that?

I know it from other firewalls as sophos UTM SG.

Bye

Gregor

Moin,

Ja block private networks habe ich draußen.

Ich habe jetzt auf beiden Seiten mittels pkg install nmap nachinstalliert.
Mache ich von den jeweiligen opnsensen ein nmap sehe ich das im live log grün.

Hier mal die aktuellen Einstellungen:

Code Select Expand


siteA

Local Configuration
Name siteA2SiteB
Instance 1
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Private Key SNgkTgYs6O...
Listen Port 51820
Tunnel Address 10.11.0.1/24
Peers siteB

Endpoint
Name siteB
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Shared Secret XCEoiuHcO...
Allowed IPs 10.6.64.0/21 10.11.0.2/24
Endpoint Address 10.0.64.63
Endpoint Port 51820


siteB

Local Configuration
Name siteB2siteA
Instance 1
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Private Key aIIHiJYf...
Listen Port 51820
Tunnel Address 10.11.0.2/24
Peers siteA

Endpoint
Name siteA
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Shared Secret XCEoiuHcO...
Allowed IPs 10.5.64.0/21 10.11.0.1/24
Endpoint Address 10.0.64.61
Endpoint Port 51820

Auf beiden opnsensen habe ich per floating rule auf WAN den port 51820 freigegeben und logge dass. Das kann ich ja auch durch nmap sehen.
Ich habe den Eindruck, ich habe noch nicht mal einen Verbindungsversuch?

Das Handshake 0 bedeutet, keine Verbindung ist gut, habe ich mir natürlich auch schon gedacht.

[siteA]

Moin,

ich versuche an einem virtualisierten Setup auf Virtualbox Basis erste Erfahrung mit wireguard zu machen.

Ich habe zwei opnsense VMs erstellt:

siteA

WAN 10.0.64.61/24
LAN 10.5.64.1/24
Tunnel Address 10.11.0.1/24


siteB

WAN 10.0.64.63/24
LAN 10.6.64.1/24
Tunnel Address 10.11.0.2/24

Die VMs laufen im promiscuous Mode, für die WAN Schnittstelle.
Ich habe entsprechende Regeln für die WAN Schnitstelle erstellt:

ICMP, HTTPS (um von meinem Rechner aus dem WAN zu konfigurieren), 51820 (für Wireguard).
Außerdem hatte ich auch für einen IPSec Test die entsprechenden Ports freigegeben.

Die wireguard Einstellungen habe ich aus dem Wiki von Thomas Krenn übernommen.
Den lokalen Endpoint, den entferten Endpoint, Port, etc.

Wenn ich von meinem Rechner aus ein nmap -sU 10.0.64.63 -p 51820 bzw. nmap -sU 10.0.64.61 -p 51820 durchführe kann ich auf den beiden FWs sehen, das Verkehr passiert.

Beim Status der wireguard Verbindung wird mir flogendes angezeigt:

Code Select Expand


interface: wg1
  public key: SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
  private key: (hidden)
  listening port: 51820

peer: V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
  preshared key: (hidden)
  endpoint: 10.0.64.63:51820
  allowed ips: 10.6.64.0/21, 10.11.0.0/24

Handshakes
wg1 V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k= 0

Eingehenden Verkehr auf Port 51820 des jeweiligen WAN Interface habe ich nicht.

Wie debugge ich das jetzt am besten?
Kann ich von einer opnsense zur anderen auch ein nmap machen? Unter den debuggin Tools habe ich nichts gesehen.
Woran erkenn ich, ob eine wireguard Verbindung aufgebaut wurde?

Ach ja, mit IPSec hat die Verbindung recht reibungslos funktioniert, ICMP zwischen den opnsense funktioniert auch,...

Grüße

Gregor