Messages

Good news: Ich habe es hinbekommen:


....
3.: Prüfen ob die "anchors" nun der Firewall bekannt sind

Code Select Expand


root@OPNsense01:~ # pfctl -sr | grep anchor
anchor "tftp-proxy/*" all
root@OPNsense01:~ # pfctl -sn | grep anchor
nat-anchor "tftp-proxy/*" all
rdr-anchor "tftp-proxy/*" all

...

BlaCKJaCK

Hi,
sorry, wenn ich den alten Thread ausgrabe, aber da ich grade am OPNSsense debuggen bin (MagentaTV hat seit gestern regelmässige Aussetzer...), dachte ich mir ich kann mal eben den tftp-proxy integrieren laut deiner Anleitung.
Mal eben :)

Ich habe alles so konfiguriert wie beschrieben, allerdings zeigt er mir die Anker nicht an.
Wodran kann das liegen?
Für jeden Tip dankbar.
Christian

Das wurde mir auch telefonisch so mitgeteilt.
Als der neue aber seine Firmware nicht laden konnte, hab ich den alten wieder angeschlossen und es lief problemlos.
Seltsam.

Ne. Leider nicht, habe irgendwann aufgegeben und den alten wieder angeklemmt.... :(

Hilft leider auch nicht.
Es scheint nichts beim Receiver anzukommen.

tcpdump sagt folgendes:

17:54:26.166611 IP (tos 0x0, ttl 100, id 5, offset 0, flags [none], proto UDP (17), length 69)
    192.168.202.220.1567 > 62.155.251.136.69:  41 RRQ "HERA_T5_DE_DRA.img" octet BLKSIZE 16384
E..E....d.......>......E.1@...HERA_T5_DE_DRA.img.octet.BLKSIZE.16384.
17:54:26.178570 IP (tos 0x0, ttl 59, id 20139, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33893 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.kn>........e........BLKSIZE.2920.
17:54:27.179582 IP (tos 0x0, ttl 59, id 20140, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33893 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.km>........e........BLKSIZE.2920.
17:54:29.185773 IP (tos 0x0, ttl 59, id 20141, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33893 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.kl>........e........BLKSIZE.2920.
17:54:33.189799 IP (tos 0x0, ttl 59, id 20142, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33893 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.kk>........e........BLKSIZE.2920.
17:54:36.191314 IP (tos 0x0, ttl 100, id 6, offset 0, flags [none], proto UDP (17), length 69)
    192.168.202.220.1567 > 62.155.251.136.69:  41 RRQ "HERA_T5_DE_DRA.img" octet BLKSIZE 16384
E..E....d.......>......E.1@...HERA_T5_DE_DRA.img.octet.BLKSIZE.16384.
17:54:36.203222 IP (tos 0x0, ttl 59, id 20143, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33894 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.kj>........f........BLKSIZE.2920.
17:54:37.204102 IP (tos 0x0, ttl 59, id 20144, offset 0, flags [none], proto UDP (17), length 43)
    62.155.251.136.33894 > 192.168.202.220.43913:  15 OACK BLKSIZE 2920
E..+N...;.ki>........f........BLKSIZE.2920.


Danke!

Ah, ok!
Bin glaub ich einen Schritt weiter :)
Sieht jetzt so aus wie im Anhang, aber trotzdem kommt nix am Receiver an.


Noch ne Idee? :)

Danke!!!

Hast Du vielleicht einen Link zu einer Doku dafür?
Wenn ich versuche das in dem Webinterface zusammenzuklicken meldet es immer
"A valid redirect target port must be specified. It must be a port alias or integer between 1 and 65535."

Aber ich will ja, wenn ich das irgendwie richtig verstanden habe :), alle Ports an den Media Receiver weiterleiten....

Danke!

Ist das nicht für einzelne Ports?
Komme mit dem Webinterface noch nicht so ganz klar :(

Hi!

Eine kurze vmtl. doofe Frage: :)
Wie richte ich eine einfache DNAT Regel ein?

Hintergrund:
Ich habe heute einen neuen Media Receiver von der DTAG gekriegt; dieser versucht sein Image von einem TFTP Server zu laden, doch die Antwort kommt von einem anderen Port so dass sie geblockt wird.
Hinweis auf DNAT fand ich hier:
https://telekomhilft.telekom.de/t5/Fernsehen/MR-400-Laden-des-Firmware-Images-ueber-tftp/td-p/2604949/page/2

("Eine DNat Regel hat mir hier den Erfolg gebracht.

Alles was von 62.155.251.136 kommt sende zu IP Reciver.")

Wie richte ich das in der sense ein?

Danke!
Christian

MErci!!!

Hi.

Ich folge der Anleitung unter https://wiki.opnsense.org/manual/how-tos/ipsec-road.html um einen IPSec Tunnel einzurichten. Allerdings scheitere ich an den Berechtigungen:

Code Select Expand

Step 4 - Add IPsec Users
For this example we will create a new user who may access the mobile IPsec vpn.

Go to System->Access->Users and press the + sign in the lower right corner to add a new user.

Enter the following into the form:

User Name expert
Password &test!9T
Save this user and reopen in edit mode to add privileges.

Add privilege User - VPN - IPsec xauth Dialin by pressing the + under Effective Privileges.

Save to apply.

Ich kann das ("Ipsec xauth Dialin") bei mir aber nicht auswählen (OPNsense 18.1.5-amd64), hat sich da was geändert?

Danke und Grüße,
Christian

Hallo zusammen,

ich habe eine opnsense Box hinter einer Fritz Box, also der WAN Anschluss von opnsense geht in den switch der fritz box.
Die Firewall hat ein zweites Interface als LAN Anschluss.
Nun ist es so daß aus dem LAN Netzt hinter der opnsense  bestimmte webseiten nicht aufrufbar sind:
www.tagesschau.de ist so ein Kandidat zb.
Gibt immer nur einen Timeout.
Ich habe keine Idee, wie man das debuggen kann.

Für jeden Tip dankbar!
Christian

Ich brauche 2 Vlans. VLAN 202 und VLAN 204, weil der Access Point da jeweils eine SSID drauf broadcastet.

Das Netzt ist eigentlich ganz einfach:

fritz------Opnsense------switch1-------switch2------AP2
                                       |
                                       |
                                      AP1
Zusätzlich hängt an switch1 noch ein server welcher DHCP fürs VLAN 202 macht.
Opnsense hat an WAN Seite per DHCP eine IP Adresse von der Fritz Box gekriegt (192.168.178.38) und auf LAN Seite habe ich das Interface em1 nun aktiviert und per DHCP eine Adresse zuweisen lassen (192.168.202.145).
Es gibt 2 VLAN Interface em1_vlan202 und em1_vlan204 mit den Adressen 192.168.202.1 und 192.168.204.1
Die oben eingezeichneten Switch Ports sind alle als Trunk konfiguriert.
Hänge ich nun ein Laptop an einen weiteren Port (als Access Port VLAN 202 konfiguriert) kriegt es per DHCP *KEINE* IP Adresse.
Weise ich ihm händisch eine zu (192.168.202.253) kann ich den Server pingen, aber das Opnsense VLAN Interface und die Switche *NICHT*. Ich komme auch nicht ins Internet, logisch da Opnsense mit der 192.168.202.1 das Gateway ist.

Hoffe das ist so verständlich!
Und Danke für Deine/Eure bisherigen Mühen!

Ja, ist noch erreichbar da ich bis ich das mit den VLANs gerafft habe den pf disabled habe.....

Danke.
Aber leider noch kein Erfolg. :(
Was mache ich denn mit dem parent interface (in dem Falle em1)?
Ich habe es momentan auf "aktiviert" und "IPV4/6 Konfigurationstyp = keines".
Ist das so korrekt?

Das sind Meraki Switches, die in der jetzigen Konfiguration auch klaglos ihren Dienst verrichtet haben.
Nur möchte ich das Meraki Security Gateway unbdingt durch Opnsense ersetzen :)
Und da scheitere ich grade.
Mein Ansatz war, im GUI die VLANs entsprechend der VLAN IDs zu konfigurieren.
Aber habe ich dann einen "Trunk"?