"
Thanks, will create an issue entry
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#1
19.1 Legacy Series / Re: IPSec DPD action not configurable (fixed setting is clear)
March 06, 2019, 12:20:39 PM #2
19.1 Legacy Series / Re: IPSec DPD action not configurable (fixed setting is clear)
March 06, 2019, 08:54:32 AM
Hi there,
is there any chance, that we get a additionally checkbox in src/www/vpn_ipsec_phase1.php for dpd_mode?
Standard could be clear and selectable should be restart.
Best regards
Joerg
is there any chance, that we get a additionally checkbox in src/www/vpn_ipsec_phase1.php for dpd_mode?
Standard could be clear and selectable should be restart.
Best regards
Joerg
#3
19.1 Legacy Series / IPSec DPD action not configurable (fixed setting is clear)
February 15, 2019, 08:57:47 AM
In 19.1 also the IPSec DPD action is not configurable, which can resists in stalled IPSec tunnel.
We are using opnsense with about 16 IPsec Site-to-Site tunnel, but the dpdaction is a fixed setting to clear. That means if the tunnel fails, it will not be restarted. Why it is not possible to set this fixed to "restart" and or to set this via GUI?
Best regards
Joerg
We are using opnsense with about 16 IPsec Site-to-Site tunnel, but the dpdaction is a fixed setting to clear. That means if the tunnel fails, it will not be restarted. Why it is not possible to set this fixed to "restart" and or to set this via GUI?
Best regards
Joerg
#4
German - Deutsch / Re: Brauche Hilfe für einen Outside Proxy
August 11, 2017, 10:33:39 AM
Hi,
nach ein paar Tagen probieren, alles verwerfen, dann Workflow aufmalen und es dann neu versuchen, hat es soweit geklappt, dass ich anhand des Pfades auf die verschiedenen Backend/Server verteile. In soweit funktioniert es schon mal.
Die Doku von HAPROXY ist etwas gewöhnungsbedürftig aber mit viel trial and error klappt es
Viele Grüße
Jörg
nach ein paar Tagen probieren, alles verwerfen, dann Workflow aufmalen und es dann neu versuchen, hat es soweit geklappt, dass ich anhand des Pfades auf die verschiedenen Backend/Server verteile. In soweit funktioniert es schon mal.
Die Doku von HAPROXY ist etwas gewöhnungsbedürftig aber mit viel trial and error klappt es
Viele Grüße
Jörg
#5
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 07, 2017, 09:48:51 PMQuote from: franco on August 06, 2017, 11:40:05 AM
Das wäre genial!! :)
Ist im Board Tutorials and FAQs
#6
Tutorials and FAQs / HowTo connect OPNSense with Amazon VPC via VPN Service
August 07, 2017, 09:47:47 PM
This guide describes how to connect an AWS VPC using AWS VPN Services. You can also use your own EC2 instance as a gateway, but this is the unsightly variant because you have to tinker and experiment with. The AWS VPC method is otherwise redundant, so you have to create 2 IPSec tunnels.
Preparation:
Take care of network addresses, they must not collide.
Example:
Office Networks:
LAN: 192.168.1.0/24
WLAN: 192.168.2.0/24
DMZ: 192.168.3.0/24
VPC Network:
172.31.0.0/16 (this is usually standard)
You can see all networks are unique. Should it collide, then you have to bite into the acid apple and adjust your network addresses. One could set up a network NAT on the OPNSense, but the other side would not be able to handle it. The AWS VPN is based on a Cisco and they have several Inspect Rules active and because it failed with the NAT.
Our requirements:
Only the network 192.168.1.0/24 may have access to servers and services at AWS.
Setup AWS VPN:
1. Log in to the AWS Dashboard and change to the VPC view
2. Set up the Customer Gateway (name is something and has little meaning, routing is static, IP Address is your Public IP of the OPNSense)
3. Set up the virtual private gateway (name is something and has not much meaning)
4. The most important point to set up VPN Connection
Name, as at 2 and 3
VPG is the identifier of the Virtual Private Gateway
Customer Gateway, click on existing and select the gateway identifier
Routing option again Static and then 192.168.1.0/24 (if you want to route several local networks, then separate with a comma)
The setup can take up to 5 minutes, since now everything is done in the background on the Cisco's. Two tunnels are set up. Once the setup is complete, select the VPN Connection and click Download Configuration at the top. Please select and download pfSense here. You need this file later for OPNSense.
5: The most important point. Turn left to Route Tables, and then select your VPC. Then go down on route propagation. The standard for Propagate is no. Change it to yes. Time for a cup of coffee, since propagation can take 1-5 minutes.
VPN setup on the OPNSense:
The configuration of OPNSense is very easy if you use the downloaded Configuration Sheet from AWS. Go ahead with this sheet as described. If you have more than one network to route, you have to add the number of phase 2 entries equals to the count of networks.
Preparation:
Take care of network addresses, they must not collide.
Example:
Office Networks:
LAN: 192.168.1.0/24
WLAN: 192.168.2.0/24
DMZ: 192.168.3.0/24
VPC Network:
172.31.0.0/16 (this is usually standard)
You can see all networks are unique. Should it collide, then you have to bite into the acid apple and adjust your network addresses. One could set up a network NAT on the OPNSense, but the other side would not be able to handle it. The AWS VPN is based on a Cisco and they have several Inspect Rules active and because it failed with the NAT.
Our requirements:
Only the network 192.168.1.0/24 may have access to servers and services at AWS.
Setup AWS VPN:
1. Log in to the AWS Dashboard and change to the VPC view
2. Set up the Customer Gateway (name is something and has little meaning, routing is static, IP Address is your Public IP of the OPNSense)
3. Set up the virtual private gateway (name is something and has not much meaning)
4. The most important point to set up VPN Connection
Name, as at 2 and 3
VPG is the identifier of the Virtual Private Gateway
Customer Gateway, click on existing and select the gateway identifier
Routing option again Static and then 192.168.1.0/24 (if you want to route several local networks, then separate with a comma)
The setup can take up to 5 minutes, since now everything is done in the background on the Cisco's. Two tunnels are set up. Once the setup is complete, select the VPN Connection and click Download Configuration at the top. Please select and download pfSense here. You need this file later for OPNSense.
5: The most important point. Turn left to Route Tables, and then select your VPC. Then go down on route propagation. The standard for Propagate is no. Change it to yes. Time for a cup of coffee, since propagation can take 1-5 minutes.
VPN setup on the OPNSense:
The configuration of OPNSense is very easy if you use the downloaded Configuration Sheet from AWS. Go ahead with this sheet as described. If you have more than one network to route, you have to add the number of phase 2 entries equals to the count of networks.
#7
German - Deutsch / Re: [GELÖST] Probleme mit AWS Site to Site VPN
August 07, 2017, 01:35:16 PM
Hi Alex,
das sind gute Nachrichten.
Ich fange mal mit der Doku an und schicke sie Dir zum Review.
Viele Grüße
Jörg
das sind gute Nachrichten.
Ich fange mal mit der Doku an und schicke sie Dir zum Review.
Viele Grüße
Jörg
#8
German - Deutsch / Re: Brauche Hilfe für einen Outside Proxy
August 07, 2017, 01:33:56 PM
Hi zusammen,
vielleicht kann mir hier jemand damit weiterhelfen. Ich brüte jetzt schon seit zwei Tagen an der Konfiguration und weiß noch nicht weiter. Wie vorgeschlagen wollte ich das mit HAProxy umsetzen.
https://dev.firma.de (name geändert) ist eine der Domains wie wir erreichbar sind. Die Server die darauf zugreifen können, sind per PF eingeschränkt. Ein LetsEncrypt Zertifikat (auch für den Router und weiteres) holt OPNSense bereits.
Die folgenden Regeln sollen beschreiben, wie der Proxy (wichtig redirect darf nicht nicht, da wir nur eine IP whitelisten können)
https://dev.firma.de/anbieter1 -> https://soatest.anbieter1.com/psc/services/PscService
https://dev.firma.de/anbieter2 -> https://test.api.anbieter2.com
https://dev.firma.de/anbieter3/deposit -> https://pay.anbieter3.com
https://dev.firma.de/anbieter3/status -> https://www.anbieter3.com/app/query.pl
https://dev.firma.de/anbieter3/withdrawal -> https://www.anbieter3.com/app/pay.pl
Bis jetzt hatte ich es immer so gemacht, dass Outside 443 per NAT an einen Apache intern geht und dieser dann die Proxy Rules ausgeführt hat. Aber dieser verbliebene Server soll ja auch raus.
ProxyPass /anbieter1 https://soatest.anbieter1.com/psc/services/PscService
ProxyPassReverse /anbieter1 https://soatest.anbieter1.com/psc/services/PscService
ProxyPass /anbieter2 https://test.api.anbieter2.com
ProxyPassReverse /neteller https://test.api.anbieter2.com
ProxyPass /anbieter3/deposit https://pay.anbieter3.com
ProxyPassReverse /anbieter3/deposit https://pay.anbieter3.com
ProxyPass /anbieter3/status https://www.anbieter3.com/app/query.pl
ProxyPassReverse /anbieter3/status https://www.anbieter3.com/app/query.pl
ProxyPass /anbieter3/withdrawal https://www.anbieter3.com/app/pay.pl
ProxyPassReverse /anbieter3/withdrawal https://www.anbieter3.com/app/pay.pl
Wie gesagt, ich stehe da irgendwie auf dem Schlauch oder denke einfach zu kompliziert.
Viele Grüße
Jörg
vielleicht kann mir hier jemand damit weiterhelfen. Ich brüte jetzt schon seit zwei Tagen an der Konfiguration und weiß noch nicht weiter. Wie vorgeschlagen wollte ich das mit HAProxy umsetzen.
https://dev.firma.de (name geändert) ist eine der Domains wie wir erreichbar sind. Die Server die darauf zugreifen können, sind per PF eingeschränkt. Ein LetsEncrypt Zertifikat (auch für den Router und weiteres) holt OPNSense bereits.
Die folgenden Regeln sollen beschreiben, wie der Proxy (wichtig redirect darf nicht nicht, da wir nur eine IP whitelisten können)
https://dev.firma.de/anbieter1 -> https://soatest.anbieter1.com/psc/services/PscService
https://dev.firma.de/anbieter2 -> https://test.api.anbieter2.com
https://dev.firma.de/anbieter3/deposit -> https://pay.anbieter3.com
https://dev.firma.de/anbieter3/status -> https://www.anbieter3.com/app/query.pl
https://dev.firma.de/anbieter3/withdrawal -> https://www.anbieter3.com/app/pay.pl
Bis jetzt hatte ich es immer so gemacht, dass Outside 443 per NAT an einen Apache intern geht und dieser dann die Proxy Rules ausgeführt hat. Aber dieser verbliebene Server soll ja auch raus.
ProxyPass /anbieter1 https://soatest.anbieter1.com/psc/services/PscService
ProxyPassReverse /anbieter1 https://soatest.anbieter1.com/psc/services/PscService
ProxyPass /anbieter2 https://test.api.anbieter2.com
ProxyPassReverse /neteller https://test.api.anbieter2.com
ProxyPass /anbieter3/deposit https://pay.anbieter3.com
ProxyPassReverse /anbieter3/deposit https://pay.anbieter3.com
ProxyPass /anbieter3/status https://www.anbieter3.com/app/query.pl
ProxyPassReverse /anbieter3/status https://www.anbieter3.com/app/query.pl
ProxyPass /anbieter3/withdrawal https://www.anbieter3.com/app/pay.pl
ProxyPassReverse /anbieter3/withdrawal https://www.anbieter3.com/app/pay.pl
Wie gesagt, ich stehe da irgendwie auf dem Schlauch oder denke einfach zu kompliziert.
Viele Grüße
Jörg
#9
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 06, 2017, 11:14:46 AM
Ich glaube ich weiß was Dein Problem ist. Du hast nach Erstellung der der VPN Connection die Route Propagation nicht aktiviert. Die ist Default aus, warum auch immer.
Siehe meine beiden Screenshots. 192.168.1.0/24 ist eines unserer Netze im Office
Frage an Franco, ist ein HowTo gewünscht wie man OPNSense mit den Amazon Webservices VPNs verbindet?
Siehe meine beiden Screenshots. 192.168.1.0/24 ist eines unserer Netze im Office
Frage an Franco, ist ein HowTo gewünscht wie man OPNSense mit den Amazon Webservices VPNs verbindet?
#10
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 05, 2017, 11:25:24 AM
Hi Alex,
die Umstellung ist abgeschlossen. Alle IPSec Tunnel mittels AWS VPN funktionieren und routen auch. Ich kann Dir anbieten, dass wir uns entweder per Telefon oder Skype mal unterhalten. Alles weitere sollten wir aber per PN austauschen
Die Lösung können wir ja wieder hier posten, da es bestimmt noch welche gibt, die entsprechende Probleme haben oder noch bekommen.
Viele Grüße
Jörg
die Umstellung ist abgeschlossen. Alle IPSec Tunnel mittels AWS VPN funktionieren und routen auch. Ich kann Dir anbieten, dass wir uns entweder per Telefon oder Skype mal unterhalten. Alles weitere sollten wir aber per PN austauschen
Die Lösung können wir ja wieder hier posten, da es bestimmt noch welche gibt, die entsprechende Probleme haben oder noch bekommen.
Viele Grüße
Jörg
#11
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 02, 2017, 10:01:39 AM
Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag
#12
German - Deutsch / Re: Brauche Hilfe für einen Outside Proxy
August 02, 2017, 09:59:57 AM
Hallo Franco,
danke für Deinen Tip. Werde es damit umsetzen.
Viele Grüße
Jörg
danke für Deinen Tip. Werde es damit umsetzen.
Viele Grüße
Jörg
#13
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 01, 2017, 09:00:15 PM
Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an
#14
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 01, 2017, 08:48:53 PM
Da sollte die ID vom virtual private gateway drin sein
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg
#15
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
August 01, 2017, 08:38:39 PM
Schau mal unter VPC -> Routing Table -> (euer VPC) -> Route
Als Target für euer Netz im Office, was steht da drin?
Als Target für euer Netz im Office, was steht da drin?
