Messages

After testing, I too can confirm that everything works now.

Thanks to all for the quick reply!

Hi all,

I've got a working OPNsense setup, as long as CP is deactivated:
Clients can connect, get an IP address, and can surf the internet.

However, when I activate CP, none of that works anymore (except for DHCP Relay, which works perfectly)

First of all, Name Resolution is no longer working. I've activated Forwarding Mode in Unbound, and set up correct DNS Servers in System -> Settings -> General and deactivated  'Allow DNS server list to be overridden by DHCP/PPP on WAN'. I've also added the DNS Servers under 'Allowed Addresses' in the CP setup, sadly this doen't seem to change things.

Second, somehow I sometimes manage to reach the Login Page (probably cached DNS), and I can login. After entering username and password, my session shows up in the CP administration page. However, I still have no internet access: When trying to visit a page, I get redirected to the CP login page, with the URL I wanted to visit in the '?redirurl' parameter of the CP url.

I also get no login prompt when connecting to the network


Has anyone an idea about what is going on and what I can do to fix this?
The culprit is probably the Captive Portal, because without it everything is working as expected

Thanks for your help in advance!

Try creating a new user locally with the same name (but different pw), give proper rights and then test again with radius backend authentication.

Already tried this, hasn't worked for me. Probably because there a '@' in the username, which OPNsense doesn't like.

Ich weiß, dass ich nichts weiß :o

denn auf den Interface Reitern werden nur eingehende Regeln (pass/block/reject IN) erstellt

Ich muss zugeben, das wusste ich bis jetzt nicht :D
Aber: es funktioniert. Ich bin dank den Logs in der Lage, IPs zurückzuverfolgen, und das auch definitiv aufgrund der beiden FW Regeln, denn der Rest der Regeln erstellt keine Logeinträge mehr.
Scheinbar muss ich mich in die Materie später nochmal umfangreicher einlesen, aber für den Moment reicht es ersteinmal so, wie es ist.

Gruß, die Vollmilch :)

by "importing" them I mean adding a user from an external server (in this case Radius) to the local Database, so I can grant rights to those users via groups, but the authentication itself is still done via the external server.
The link from my first post probably describes it better than I do (https://wiki.opnsense.org/manual/users.html#authorization).

I've already done the steps you described, which allows me to sign in to the webGUI, however, as I can't assign any groups, I just get the "No page assigned to this user! Click here to logout" error.

So my question is, how I can import users from Radius and assign groups to them

Ups, mein Fehler, da war ich zu ungenau  :-X
Bei der Regel im WAN ist als Source "This Firewall" eingestellt. Soweit ich das einschätzen kann, werden damit ausgehende Pakete erlaubt, die ja sowieso erlaubt werden.
Eingehende ungewünschte Pakete werden nach wie vor weiter blokiert.
Möglicherweise könnte man als Destination noch WAN net einstellen, doch dazu sehe ich keine wirkliche Notwendigkeit

Hello everyone,

I want to import users from Radius into the local database so I can allow them to access the webGUI.
According to https://wiki.opnsense.org/manual/users.html, this can be done.
So far, I've been able to import users from LDAP, which is nice but not really  what I want :(.

Is there any way to do this or is it just not posssible?

Thanks for any help in advance :)

Falls es jemanden interessiert, ich habe jetzt eine Lösung gefunden, so ein Logfile nachzubauen:

Man fügt bei der Firewall sowohl bei dem WAN- als auch bei dem LAN-Interface eine neue Regel ganz am Ende ein, welche allen Traffic erlaubt, aber mitloggt.
Da vorher alle Regeln, welche Traffic möglicherweise blockieren, bereits geprüft wurden, stellt diese Regel kein Sicherheitsproblem dar.

Im Logfile der Firewall kann man dann ganz einfach z. B. nach der Ziel-IP suchen und erhält unmittelbar aufeinanderfolgend 2 Einträge: einmal mit der internen IP als Quelle und einmal mit der genatteten IP

erstmal vielen Dank für die Antwort, JeGr.

Ich gebe dir Recht, das Ganze ist nicht unbedingt hieb- und stichfest, aber so gewünscht. Ich mache die Regeln an dieser Stelle nicht, ich befolge sie einfach nur.
Zum Thema Zuordnung gibt es zumindest noch das Accounting via Radius, welches vielleicht eher aussagekräftig ist. Desweiteren erfolgt auch nicht sofort eine Sperrung, sondern erstmal eine Mail bzw. ein Gespräch, in dem man sich erklären kann - und demzufolge auch wehren.
Anyway, ich möchte hier nicht über Sinnhaftigkeit bzw. Sinnlosigkeit dieser Methode diskutieren (auch wenn die Punkte natürlich stimmen!), ich habe eher gehofft, dass es für mein Problem eine mehr oder weniger einfache Lösung gibt.
Hat nicht doch jemand eine Idee? :)

aber die DHCP Logs verraten mir doch nur die LAN IP der Clients :o
Wenn so eine Meldung kommt, wird in dieser nur die genattete IP genannt, worauf ich in der Lage sein muss, dieser genatteten IP die LAN IP zuzuordnen

Beispiel:
Client hat im LAN die IP 10.149.64.128
Client schickt Anfrage an 8.9.10.11
OPNsense schickt die Anfrage als 192.168.4.5:12345 weiter an 8.9.10.11 (durch NAT logischerweise; 192.. ist die IP Adresse von dem Rechner mit OPNsense im WAN)
Schock: Dieser Verbindungsaufbau war "schadhaft" (wie auch immer sei jetzt erstmal irrelevant)
-> es kommt eine Meldung bei mir an: "Die Verbindung von 192.168.4.5:12345 um 14:48:25 war böse"
ich schaue in dem NAT Log nach: 192.168.4.5:12345 war zu dem Zeitpunkt die genattete IP von 10.149.64.128
-> ich kann den Client verwarnen etc..

Ich hoffe, zumindest mein Anwendungsbeispiel ist jetzt deutlicher.
So wie ich das sehe, dürften mir die DHCP Logs hier nicht wirklich weiterhelfen. Oder habe ich hier gerade einen gewaltigen Denkfehler?

Abgesehen davon schonmal vielen Dank für deine Bemühungen, chemlud! :)

Ja, ich will tatsächlich jeden einzelnen State loggen :D

Das von OPNsense aufgespannte LAN wird in einer Uni verwendet, und da sind wie man auch erwarten würde, eine ganze Menge Clients verbunden.
Wenn dann jemand mal Quatsch anstellt, gibt es eine Meldung der Art "[WAN IP von OPNsense : genatteter Port] hat Mist gebaut, macht was!", und dann muss rückverfolgbar sein, welche LAN IP das war.

Lokal brauche ich die Logfiles auch nicht unbedingt, lediglich remote sollte das komplette log verfügbar sein.
Immerhin gibt es dafür auch einen extra Server.

Wenn das nicht gehen würde, wäre das zwar kein Beinbruch aber zumindest sehr schade.

Hi Nils,

danke für deine Antwort, aber das habe ich bereits probiert und das bringt nicht wirklich viel, da

• ich nicht weiß, wie ich in dieser Logdatei die Nat-Events finde oder
• da tatsächlich keine Nat-Events in diesem Logfile geloggt werden

Zumindest die Ausgabe, wie ich sie in meinem ursprünglichen Post beschrieben habe, kann ich damit leider nicht erzeugen.

Gruß die Vollmilch

Hallo zusammen  :),

ich möchte gerne, dass OPNsense die ausgehenden "genatteten" Verbindungen remote loggt, finde aber leider keine Möglichkeit dazu.
Aussehen sollte das Ganze im Idealfall wie in der Web GUI unter "Firewall -> Diagnostics -> States Dump" bzw. die Ausgabe in der Konsole nach

Code Select Expand

pfctl -s states

Die NAT Regeln habe ich bereits von automatisch nach manuell umgestellt, wobei die manuellen Regeln identisch mit den automatischen sind mit der Ausnahme, das Logging aktiviert ist.

In den Firewall Logs selbst habe ich leider nichts dergleichen gefunden, sodass diese für mich mehr oder weniger nutzlos sind.

Schonmal vielen Dank im Voraus.
Gruß, die Vollmilch :D