Messages

Hallo Forum,

ich habe die Frage bei dem anderen *Sense gestellt, und erst gestern habe ich daselbe mit OPNsense probiert und hat es auch den gleichen Fehler gegeben!

OPNsense als VM mit VMware ESXi 7.0.3 installiert, die NICs als SR-IOV eingerichtet, alles läuft wirklich wunderbar, ohne Problem, bis zu einer Sache:
Beim Startup, wo die Interfaces anerkannt und konfiguriert werden, zeigt sich ein Fehler:
"AQ returned an error: VIRTCHNL_PARAM_ERROR to our request: CONFIG_RSS_KEY"

Was mich nur wundert, dass alles hinterher ohne irgendwelches Problem läuft, und alle Interfaces die mit VLAN konfiguriert sind funktionieren wie erwartet.

Motherboard: Supermicro, NICs: Intel Controller x722 und x710

hat jemand eine Idee wie man den Fehler beheben kann?

Vielen lieben Dank,
Karl

einverstanden :-) werde ich morgen alles tun wie du es beschreiben hast.
Meine letzte Frage (für heute :-p) ist: in eap , was soll ich genau nehmen? MD5 (as default) oder ein anderes Protokoll?

freeRadius plugin wurde installiert, dann die standard Konfiguration für das Server ist mit IP Adresse vom localhost (das ist genau was ich meine mit localhost).

du hast geschrieben: dazu noch FW Regel für Port 1812/1813 , wo soll dieser Regel angelegt werden? im Management Interface? und wie? ich meine IPv4 UDP any to any ?

@stefanpf: freeRadius auf OPNsense ist weiter mit localhost IP Adresse konfiguriert, woher kommt denn die IP Adresse im Radius Profile? ich meine 10.11.1.254 !
und wo sollen die Firewall Rules angelegt werden?

Der UniFi Controller ist aber nicht auf OPNsense installiert? oder?

VG;
Karl

Danke euch für die Antworten...
und jetzt kommen ein paar Fragen dazu, vlt werde ich das ganze Thema irgendwie verstehen!

1. was soll ich auf meinem OPNsense installieren? freeRadius plugin oder was genau?
2. UniFi Controller läuft 24 Std. (mit VM Installation, extra Interface mit allen APs), trotzdem für 5 oder 6 APs ist kein Problem deren IP Adressen einzutragen (als Clients bestimmt)
3. im UniFi Controller werde ich ein Radius Profile anlegen, aber welche IP Adresse soll ich eingeben (als Server)? freeRadius läuft mit dem localhost 127.0.0.1 ?! es wird aber nicht anerkannt (glaube ich) von den APs!
4. in freeRadius Konfiguration : Welche Punkte sollen genau aktiviert werden? natürlich ,,enable" :-p  und was noch?
5. gibt es extra Firewall Rules die angelegt werden sollen?

Danke euch wieder für die Hilfe dabei :-)

VG;
Karl

Hi Forum,
hat jemand diese Kombination am laufen? und wie hat es geklappt?
ich suche seit ein paar Tagen nach einem Tutorial für OPNsense, und bis jetzt nichts gefunden!

VG,
Karl

@franco: Danke dir für die Erklärung

Ok, einverstanden... aber, wenn irgendwelche Service im Firewall OpenSSL benötigt, wird diese Service OpenSLL des Systems nutzen (die alte Version), oder über OpenSSL im ,,bin" Ordner (die Neue)? welche von den beiden Versionen ist vom System anerkannt und nutzbar? ich hoffe dass ich nicht mit meiner Frage nerve  :-[

Hallo Forum,

ich habe vorgestern das neue Image 20.1 frisch installiert, es zeigt im GUI die von OpenSSL Version 1.1.1d .

per ssh, und das command: openssl version , zeigt es mir, die von OpenSSL Version im System ist 1.0.1o !

Nach einem Test, ob TLS 1.3 funktioniert (was directnupe gepostet hat):
openssl s_client -connect 46.101.66.244:853
kommt die Antwort mit TLS 1.2 , was ich erwartet habe, wenn das System die Version 1.0.1o von OpenSSL nutzt.

wie kann man die neue Version (1.1.1) nutzen, oder aktivieren?

Hi Forum,

seit ein paar Monaten kommen keine Alerts mehr in Suricata! log zeigt:

suricata: [100821] <Error> -- [ERRCODE: SC_ERR_PCAP_DISPATCH(20)] - error code -2

mehrmals kommen auch andere Einträge wie: flowbits errors, checksum (0) !

Was ich wusste dass es früher einwandfrei funktioniert hat, obwohl alles mit VLAN eingestellt ist und die ganzen Offloading Optionen ausgeschaltet sind.

Ich habe im Forum recherchiert und festgestellt dass ich nicht der Einzige bin, der solches Problem hat, aber ich habe auch keine Lösung gefunden, und ich habe alles getan was die anderen Benutzer vorgeschlagen haben, aber leider hat es nicht geholfen!

Hat jemand einen Vorschlag was ich noch damit machen kann?

VG,
Karl


Update (25.09):

Suricata neu installiert, beides probiert: VLAN und phys. Interfaces, leider ist das Problem weiter geblieben, und der gleiche Fehler existiert noch, und immer weiter keine Alerts!..

Hi Murat, & thanks a lot for the good job with Sensei...
The addition of many "Next Generation Firewall" functions to Open Source is a big idea, & I had tried Sensei, & it is really good.
One question please: (for Home Users): is there any plan for a good price with a premium subscription? because 499,00€ a year is too heavy with the small plan for 25 Devices! Another Firewall solutions are free for Home Users (or for a small price a year) with the most benefits of different policies & another Services like Sensei!.

Regards;

Karl

Danke euch für die Antworten... es mag sein dass ich ein bisschen aufgeregt gewesen bin als ich das Thread gepostet habe...

@hbc: eine große Bitte: kannst du ein kleines Tutorial "mit einem Beispiel" posten wie man Dual-Stack transparent Proxy richtig konfigurieren kann?

Vielen Dank im Voraus für die Unterstützung...

VG,

Karl

Hallo Dominik,

die Frage bleibt: wie schafft man denn die UTM Funktionen mit dem Firewall? es geht nicht um die normalen Funktionen, die ein Firewall bietet, sondern um die Cybersecurity. Wie werde ich das tun ohne Web Proxy? mit der Entwicklung von NG Firewall sieht man danach wie weit das Firewall machen soll. Auch mit Intrusion Detection in OPNsense ist sehr einfach und bietet die Advanced Options überhaupt nicht (was man in dem anderen sense sieht)(dazu kann ich auch sagen dass viele Posts im Forum sind, die über die Probleme mit Alerts oder die Messages im log sprechen -was ich auch habe- ohne deutliche Lösung woran es genau liegt! "bei mir funktioniert es seit 4 Monaten nicht mehr!). Und als Home User finde ich nicht so schön dass sensei mit seinem Preis für ein Premium Account nicht so freundlich ist; Sein "Features of Next Generation Firewall" sind so toll dass man Policy für jeden Zweck erstellen kann, aber mit dem Preis für ein Home User ist zu viel (viele andere Firewalls bieten für Home User eine kostenlose Version oder eine Home Version für geringes Geld pro Jahr, und sind alle Funktionen offen mit der Möglichkeit ein Policy zu erstellen nach eigenen Wunsch!)

Sorry dass ich über viele andere Sachen hier geschrieben habe, aber viele Leute gehen weg zu einer anderen Firewall Lösung wegen Cybersecurity!.


https://github.com/opnsense/core/issues/3395

https://github.com/opnsense/core/issues/1784

VG,

Karl

Nach suchen und suchen im Forum, habe ich festgestellt dass dieses Thema mehrmals besprochen wurde ohne deutliche Lösung. Sobald man die Internet nur über IPv4 Verbindung nutzt, dann ist alles OK, und squid kann vollständig konfiguriert werden und ohne großartige Probleme, aber mit IPv6 nicht... Schade...

ich möchte nur informieren dass alles wie früher wieder funktioniert nach dem Update auf 19.7.2 :-)