Messages

1

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: December 01, 2024, 04:25:26 pm »

Das wäre natürlich sehr sehr cool 😍

Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:

• TCP/443
• UDP/443

BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:

• Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
• Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück

Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose

2

General Discussion / Re: Migration of network structure

« on: November 30, 2024, 10:35:28 am »

[…]

Also, dnsmasq can create artificial SRV records.

All that said, I don't expect SIP servers to change their names or addresses on a regular basis. So, all this flexibility is probably overkill.

Unfortunately, one of my former ISPs did change from time to time. I'll have a look on dnsmask. If nothing on that works, I'll use the ASN as a fallback solution. Thanks.

3

General Discussion / Re: Migration of network structure

« on: November 30, 2024, 10:32:07 am »

I have had quite a few SIP setups that worked without inbound forwarding, modern SIP is supposed to be able to detect NAT and work through it.

Do you have one for "Deutsche Glasfaser"? Unfortunately, every SIP provider implements differently, so that there is no global setup. Otherwise, I have analyse the SIP communication and perform configuration on that results.

4

General Discussion / Re: Migration of network structure

« on: November 30, 2024, 10:30:17 am »

1. That largely depends on if the ONT does EEE, so I would worry only if the problem turns up.
2. IHMO these were mostly configuration errors by newbies who did not follow all instructions by the letter or tried more sophistcated setups (like LAN bridges, again, without following instructions closely).
3. AFAIK, no. But why would you? The SIP IPs are known beforehand, so you can put them into a firewall alias. SIP nowadays does need a port forward, but if you know your ISP, you can also limit inbound connections to their ASN.
I always restrict such devices to my IoT network, where they cannot do much harm, anyway.

Thank you very much.
Regarding the third point, one of my former ISPs sometimes changed SIP entrys in DNS, so that I had to reconfigure rules in the Opnsense. ASN is my fallback scenrario in case reconfiguration is often needed .

5

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: November 27, 2024, 06:33:15 pm »

Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre (arbeite bei ner VW-Konzern-Tochter)......

Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.

Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?

Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird.

Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.

BTW Seltsam, dass ich keine E-Mail bezüglich der Antworten in diesem Thread erhalten hatte

6

German - Deutsch / Re: Deutsche Glasfaser IPv6 Ausfälle

« on: November 27, 2024, 06:25:45 pm »

Die geschilderten Probleme konnte ich in der Vergangenheit (seit 02/2024 läuft bei mir Deutsche Glasfaser) glücklicherweise nicht feststellen. Allerdings möchte ich meine Netzwerkstruktur ändern (Link) und habe die Befürchtung, dass mich dieses Problem dann möglicherweise auch ereilen kann :-o.

7

General Discussion / Migration of network structure

« on: November 27, 2024, 06:05:34 pm »

For historical reasons, I have the following network structure:

• Fiber ONT (Deutsche Glasfaser) <-> Fritzbox 7490 (router mode) <-> Opnsense <-> …

The above scenario worked fine for the last year (without interruptions). But the signal reception of my DECT phones connected to the Fritzbox is not good in some parts of my house, so I want to move the Fritzbox to a new location. This is a good time to remove the Fritzbox from the WAN side of the Opnsense and put it as a dedicated device in a separate VOIP VLAN. So far, so good. A few questions arise.

• The network card in the WAN (Intel X553) had repeated connection losses in the past, which I solved by disabling EEE (Energy Efficient Ethernet) on the Fritzbox. I am not sure if the Opnsense network card (Intel X553) supports configuring EEE itself (setting the system tunable "dev.ix.n.eee_state=0" via SSH results in a hung SSH session. Finally, this parameter is not set). Does anyone have recommendations to avoid such connection loss issues in advance?
  
  
• There were some discussions in the forum in the past about missing IPV6 prefix and address assignments (especially in case of connection loss) with Deutsche Glasfaser. On my Fritzbox, such problems never occurred in the past. Does anyone know the reasons some users have pointed to? I think the DHCP DUID should be persistent at least during boot cycles. Is that correct?
  
  
• Modern SIP clients should derive the IP address for the SIP server by querying the SRV DNS record instead of directly querying the A record. Does the Opnsense firewall support DNS-based firewall rules based on SRV records?
  

8

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: November 14, 2024, 07:22:21 pm »

Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418)...

Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.

[...]

Ich hatte mich in den letzten (mindestens 6-7 Jahren) über Checkpoint Mobile ins Firmen-VPN eingewählt. Das lief mit unterschiedlichen Szenarien (Single-, Double- und Tripple-NAT) in Verbindung mit der Opnsense immer einwandfrei. Daher vermute ich mal, dass entweder der VPN-Client uns/oder der VPN-Server nicht richtig konfiguriert sind.

Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst „IPSec-Passthrough“ unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.

Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.

9

German - Deutsch / Re: Wie selbe Fritzbox für PPPoE-Passthrough als auch Telefonie mit 1u1 nutzen?

« on: November 12, 2024, 07:16:09 pm »

Schau mal hier, ich hatte vor langer Zeit die Opnsense hinter einer Fritzbox mittels PPPoE-Passthrough ins Internet gelassen und gleichzeitig einige Funktionen der Firtzbox weitergenutzt. Evtl. funktioniert das noch.

https://www.ip-phone-forum.de/threads/fritzbox-7412-als-modem-an-opnsense-andere-idee.297783/

10

24.7 Production Series / Re: [SOLVED] Intel I226-V NICs going down randomly without obvious reason

« on: August 31, 2024, 12:31:24 pm »

Some more thoughts. In my experience link issues are often broken cables or power management issues. In the past I had similar issues with regular link loss between opnsense (INtel X553) and a fritzbox. After disabling EEE (Energy Efficient Ethernet) the problem was solved.

11

German - Deutsch / Re: Private IP wird über WAN geroutet

« on: August 31, 2024, 12:20:55 pm »

Verlasst Euch nicht darauf, dass der ISP Pakete an private Zieladressen wegwirft. Insbesondere bei UDP können so vertrauliche Daten das Heimnetz verlassen. Ich habe bei mir eine entsprechende Floating-Regel für das WAN-Interface eingerichtet, welche Netzwerkpakete mit RFC1918 als Ziel herausfiltert.

Hierzu ein Erfahrungsbericht aus der Vergangenheit, lange vor Opnsense: Ich hatte damals noch eine Dial-Up-VPN-Verbindung ins Uni-Netz. Was war passiert? Die VPN-Verbindung ist abgebrochen und daraufhin wurden Netzwerkpakete mit dem Ziel-Adressbereich 10.0.0.0/8 über das WAN-Interface heraus geroutet. Der feine Unterschied war, dass ich dann zufälligerweise auf Rechner im internen Netz meines ISP getroffen bin und mit diesen kommuniziert hatte. 

12

German - Deutsch / Re: opnsense 24.7.2 squid Web Proxy

« on: August 23, 2024, 05:53:07 pm »

Kurze Antwort auf die erste Frage: Ja

13

24.7 Production Series / Re: 24.7.1 perfect

« on: August 12, 2024, 05:58:18 pm »

Just upgraded to Opnsense 24.7.1. and the upgrade worked like a charm. Many thanks to franco and his team.

My short-term observations:

• The new dashboard looks nice 
• IPsec over IPv6 and NAT-T is now available 
• The throughput issue with activated IPsec (link) still persists (maybe kernel issue in FreeBSD)

14

German - Deutsch / Re: DDclient spdyn Problem

« on: August 12, 2024, 05:48:13 pm »

Auch wenn hier schon rund einen Monat Funkstille herrscht, hänge ich mir hier ran. Ich habe im Ddclient auch Probleme mit spdyn.de.

Bei mir schlagen jedoch nur Updates für "IPv4" und "IPv4+IPv6" fehl. Updates für "IPv6" funktionieren hingegen. Bevor ich jetzt aufwendig die gesamte Konfiguration heraus puzzele. Würde ich selbst gerne erst einmal schauen, was die Opnsense an den API-Endpunkt schickt. In dem Log stehen leider nur Infos (notice). Ich habe keine Option gefunden das Logging auf Debuginfos umzustellen.

Wer weiß, wie ich das Debug-Logging aktivieren kann?

15

Virtual private networks / Re: 14[IKE] unable to resolve

« on: August 09, 2024, 08:43:37 pm »

is there a way to start ipsec delayed after unbound, or configure ipsec service not to stop?

Generally it's not needed. IPsec connections start automatically if properly configured. Check the CHILD_SAs:

• Start action should be set to "trap" or "trap+start"
• DPD action should be set to "trap" (if used)