Messages

I'm following https://docs.opnsense.org/manual/how-tos/ipsec-rw-srv-mschapv2.html#step-3-phase-2-mobile-clients. Setting FQDN is an essential part for the certificate and also in phase 1 proposal (my identifier). Strangely there is no choice FQDN when creating the certificate (only DNS, IP, email and URI)



 


Did the interface change meanwhile?


Thanks for any help
Peter

Hallo

1.) serial image mit dd auf USB Stick schreiben wie hier beschrieben (mein Stick war usb3)

https://docs.opnsense.org/manual/install.html#installation-method

2.) falls es einen MBR auf der mSata gibt -> vorher löschen!

https://forum.opnsense.org/index.php?topic=4897.msg19343#msg19343

3.) APU: serielles Kabel (Null Modem Kabel!) anschliessen, PUTTY konfigurieren

http://pcengines.ch/howto.htm#serialconsole

4.) APU: von Usb Stick booten, mit F10 start Medien anzeigen lassen, USB Stick wählen

5.) OPNSense bootet, wenn auf die manuelle Installation hingeweisen wird, diese starten...


Viele Steps aber es funktioniert.

Gruss
PeterPan

Ok, ungewöhnliche Usability (Enter drücken!). Bin nicht der einzige:

https://github.com/opnsense/core/issues/1451

Unter Monowall konnte man eine Beschreibung zur MAC Adresse hinzufügen - ist (war) sehr hilfreich.

@franco: ist das ein BUG?

Hi

Für einige Rechner will ich den Public Zugang ohne Passwort erlauben. Unter Monowall gab es die Möglichkeit MAC Adressen als Ausnahmen zu erfassen. Hier bei OPNSense gibt es nur das Feld "Erlaubte MAC Adressen":


 


Alle Eingaben gehen aber verloren, es passiert gar nichts. Sollte das klappen? Wenn ja, liegt es an der Eingabe?

Gruss
PeterPan

[Fazit]

@fabian: danke für den Tipp, war leider nicht selektiert.

@franco
Ich habe nun sehr viel rum getestet (auch gestern schon) und bin dem ganzen auf die Schliche gekommen.

Gestern, wie auch heute habe ich für Public -> World den Gateway sowohl mit LoadBalance als auch Standard geprüft. Aber das Verhalten war immer gleich.

Vor einer halben Stunde hab ich das WLAN von 802.11ng nach 802.11b geändert und siehe da, das Captive Portal Login funktioniert.

Seither versuche ich über diverse Einstellungen den Fehler zu simulieren und wurde fündig: es liegt bei mir am Gateway LoadBalance. Bin mir nicht sicher ob ich da was falsches konfiguriere oder ob das ein BUG ist. Hier die Einstellung der Gateway Gruppe:


 


Fazit
- Public -> World über Gateway Gruppe LoadBalance: Zugriff World geht nicht über Captive Portal
- Public -> World über Standard Gateway: Redirect zu Login Captive Portal. Login funktioniert.

Gruss
PeterPan

Hallo Oxy

Besten Dank für deine ausführlichen Informationen.

Ich war der Meinung, dass OPNSense das Default Template nimmt, falls ich kein Custom Template erstelle.
Habe nun das Default Template bezogen, als Custom Template rein gestellt und in den Captive Portal Einstellungen ausgewählt. Leider ändert sich nichts am Verhalten.

Wenn ich im Browser http://[ip]:8000 von Hand eintippe sehe ich das Login Template (username, password, sign in). Das war auch schon so ohne Custom Template. In einem anderen Thread hier im Forum wird darauf hingewiesen unter "Captive Portal Erlaubte Adressen" die DNS Server von Google einzutragen (8.8.8.8, 8.8.8.4). Obwohl ich nicht verstehe wieso das nötig ist, hatte ich das gestern Abend so eingetragen. Diese Einstellung ist aber heute nicht mehr zu sehen.

Es scheint so, als ob der Zugang nicht über das Captive Portal läuft (obwohl mit manueller Adresse das Login Template zu sehen ist). Gibt es eventuell per ssh die Möglichkeit tiefer in den Logs nach allfälligen Fehlern zu suchen?

Gruss

PeterPan

[Captive Portal]

Auf meinem APU2 ist eine WLAN Adapter installiert. Der Zugang ist öffentlich, also nicht abgesichert. Zusätzlich ist das Captive Portal eingerichtet für dieses Interface. Authentifiziert wird über die Lokale Datenbank.

Die Verbindnung mit dem WLAN funktioniert bestens, inklusive IP Bezug. Der Zugang zum Internet scheint aber nicht gesichert zu sein, ohne Benutzer / Passwort Abfrage kann ich alles machen auf dem Internet.

Captive Portal


 



Public Firewall Rules


 



Kann mir da jemand helfen?

Ich weiss leider nicht was beim booten unter FreeBSD abgeht. Deine Aussage "die mSATA sah 'brauchbar' aus und daher blockiert" klingt plausible, falls es so einen Mechanismus gibt.

Was ich bestimmt weiss:

- mount mSata als read only hat funktioniert (mount point /mnt)
- mount -o rw / hat auch geklappt und ich konnte eine Datei hallo.txt schreiben (USB Stick)

Schreiben auf mSata war nicht möglich. Auch der Befehl gpart destroy -F ada0 meldete pemission denied.

Ich weiss nicht wieso aber vermutlich wurde von ada0 gestartet, das erklärt auch "permission denied" und "busy device". Auch bin ich mir sicher, dass ich vom USB Stick (sdb) gestartet habe und nicht von adat0.

[Lösung]

Franco, danke für deinen Tipp.

Da mit dem Nano Image die Logs nur ins RAM geschrieben werden, habe ich extra eine 120GB mSata gekauft. Eventuell kann man von einer Embedded Version auf eine Full Version wechseln nach der Installation?

Lösung

• Mit TinyCore auf USB Stick starten
• MBR löschen dd if=/dev/zero of=/dev/ada0 bs=512 count=1
• Partitions mit fdisk löschen
• Mit OPNSense 17.1 Serial auf USB Stick starten
• Installation funktioniert!

Details zum Ablauf

Irgendwie war die mSATA (ada0) immer busy. Es gelang mir zwar die Partition im read only zu mounten aber write ging definitiv nicht. Weder dd noch fdisk oder gpart hatten die "permission" zu schreiben.

Ich hatte zuvor, wie bei einer Nano Installation das Image 17.1 serial auf die mSata kopiert. Wie bei pcengines erläutert mit TinyCore booten (USB Stick) und danach mit dem dd Befehl das image auf die mSata kopieren.

In einem zweiten Schritt kopierte ich das 17.1 serial Image auf den USB Stick und startete den Installer erfolgreich. Schreibzugriff auf mSata wurde von da an immer verweigert.

Stunden später entschloss ich mich über TinyCore den mSata MBR Record mit dd zu löschen. Danach hat's geklappt. Vermutlich hat das System die mSata gemountet und nicht den USB Stick, obwohl der Startvorgang über USB lief. Keine Ahnung wie das geht...

[Time out von 60 Sekunden]

Ich habe eine APU1 mit 16.7 nano Image am laufen. Die Installation des serial Image 17.1 auf mein APU2 Board scheitert leider. Das System bootet vom USB wie es sollte und ich kann den Installer starten:

Time out von 60 Sekunden
...aber danach geht es weiter.
Konsole: run_interrupt_driven_hooks: still waiting after 60 seconds for xpt_config

Installer
> early installer
> Ok, let's go
> Accept these settings
> Guided installation
> ada0: <KINGSTON SMS200S3120G 608ABBF0> ATA8-ACS SATA 3.x ...
> GPT/UEFI mode

Execution of the command
/sbin/gpart create -s gpt ada0
FAILED with return code of 1.

> View Log
...
Executing /sbin/gpart create -s gpt ada0
gpart: geom 'ada0': File exists
Exit status:1


Starten im Single Modus

# gpart delete -i 1 ada0
gpart: Device busy
# gpart destroy -F ada0
gpart: Device busy


Kann mir da jemand helfen?