OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of clovis.roncon »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - clovis.roncon

Pages: [1] 2
1
Portuguese - Português / Re: PPPOE Desconecntando
« on: September 10, 2024, 06:46:45 pm »
Boa tarde, Jader!

Não recebemos, até hoje, nenhum relato de problema com PPPoE no OPNSense.
Mas antes de tirarmos conclusões, poderia nos informas alguns pontos, por favor:

1 - Você nos informou que está utilizando um dispositivo externo (não utilizando da própria operadora). Sabendo disso, sabe nos informar se com o próprio modem da operadora - que permite alterar para bridge também - ocorre este mesmo problema?

2 - Tentou usar seu Intelbras em PPPoE em um outro dispositivo, como um notebook com configurações de "discagem" PPPoE e ver o comportamento?

3 - Os firmwares do OPNsense e do seu dispositivo Intelbras estão atualizados?


Aguardo suas respostas para darmos continuidade na análise.

2
Portuguese - Português / Re: Desbloqueio do LogMeIn
« on: December 12, 2023, 05:58:34 pm »
Olá, Ruiter!

Caso seu problema seja entrada, ou seja, uma utilização de acesso remoto aos seus dispositivos atrás do firewall utilizando o Logmein, será necessário liberar as portas indicadas por eles no link via NAT de Entrada .
> Obs.: Recomendamos que todos os NATs de entrada sempre sejam feitos com IP de origem definidos, a fim de evitar problemas com segurança.

E caso seja saída, (dispositivos de sua rede atrás do firewall tentando acessar algum outro dispositivo via Logmein), e como você está utilizando Proxy Transparente, será necessário verificar as regras de proxy a fim de permitir o acesso ao Logmein.
Por exemplo: se toda sua rede tem a necessidade de acessar o Logmein, deve-se liberar na Whitelist de seu Proxy os domínios indicados no site deles.

E caso seja outro tipo de problema que está enfrentando, favor nos informar.



3
Portuguese - Português / Re: Problemas intermitentes de acesso à rede interna em conexão via OpenVPN
« on: September 12, 2023, 06:42:57 pm »
Boa tarde, Paulo!

Há uma linha no LOG que me chamou atenção:

"OpenVPN log message meaning WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want”

A opção "duplicate-cn" permite que várias conexões usem o mesmo nome comum (CN), o que significa que um único certificado pode ser usado por mais de uma conexão ou usuário.
Por outro lado, a opção "client-config-dir" é usada para especificar um diretório contendo arquivos de configuração específicos do cliente.

Usar essas duas opções juntas pode causar comportamentos inesperados, pois "duplicate-cn" permite que vários clientes usem o mesmo certificado, enquanto "client-config-dir" espera que cada cliente tenha seu próprio arquivo de configuração.
Portanto, a menos que você tenha um motivo específico para usar essas duas opções juntas, geralmente é recomendado não fazer isso.

Recomendamos revisar sua real necessidade e decida qual das duas opções você irá desabilitar.
Assim que o fizer, favor nos informar se funcionou corretamente.


4
Portuguese - Português / Re: Não acesso ao servidor web na mesma internet (Vivo - Vivo)
« on: September 04, 2023, 03:57:44 pm »
Bom dia, Notrevor

Veja abaixo se entendi corretamente.
Vocês possuem uma página configurada em um servidor interno "exemplo.local" e um DNS público cadastrado como "exemplo.com.br". Seria isso?

Caso seja, para que você consiga acessá-lo no "com.br" utilizando o IP LOCAL deste server, será necessário cadastrar um DNS interno diretamente no seu OPNSense.
O DNS padrão do OPNSense é o DNS Unbound.

Aponte o IP LOCAL de seu servidor, vinculando-o ao DNS "exemplo.com.br".

Deste modo todos que tiverem seu firewall como DNS, irão resolver está página preferencialmente via DNS interno.

5
Portuguese - Português / Re: Problemas intermitentes de acesso à rede interna em conexão via OpenVPN
« on: September 04, 2023, 03:49:32 pm »
Ola, Paulo!

Pelo que nos informou, está tudo correto.

Consegue nos enviar sua configuração completa da OpenVPN em questão?
Caso consiga enviar as screenshots de toda a configuração desta OpenVPN,  nós poderemos fazer uma análise detalhada.


6
Portuguese - Português / Re: Problemas intermitentes de acesso à rede interna em conexão via OpenVPN
« on: August 22, 2023, 10:03:58 pm »
Boa tarde, Paulo!

Pelo que você nos descreveu, aparenta estar correto, mas para que possamos lhe ajudar, precisaremos de mais alguns detalhes.

Toda a OpenVPN Clent to Server possui um range de IP específico configurado a ser usado pelos usuários que conectam-se ao mesmo. Esta rede do túnel que deve ser liberada na regra de firewall como sendo a origem.

Resumidamente, para que uma OpenVPN funcione corretamente ela precisa ter Rotas e Regras bem configuradas.

Sobre as Rotas, na OpenVPN Server há o campo específico para inserir as redes que poderão ser acessadas por este túnel:  "IPv4 Local Network"

E sobre as Regras, as liberações de acessos das OpenVPNs Client to Server são feitas na interface com nome de "OpenVPN".

A Regras deverão ser feitas no seguinte padrão:

IP Origem: Rede do Túnel OpenVPN (que foi configurada no Server);
Porta Origem: Nenhum;
IP Destino: IP(s) ou Rede(s) que os usuários desta OpenVPN poderão acessar;
Porta Destino: Porta(s) que os usuários desta OpenVPN poderão acessar;


  • Caso queira nos enviar imagens de sua configuração da OpenVPN e das Regras, podemos lhe ajudar a tentar encontrar o que ainda falta ser feito.



7
Portuguese - Português / Re: ECAC da Receita Federal
« on: July 19, 2023, 04:32:05 pm »
Bom dia!

Poderia,por favor, nos dar mais detalhes sobre suas configurações?

Por exemplo:

- Está usando Proxy?
- Caso esteja usando Proxy, seria o explícito ou o transparente?
- E ainda no caso de usar Proxy, ao tentar acessar a página, poderia nos enviar os LOGs deste acesso?
- Já tentou criar uma regra de saída sem restrição para o IP que está testando e ver se o acesso fica OK?

8
Portuguese - Português / Re: Logs firewall nao mostra ip originado na rede local
« on: March 07, 2023, 03:42:22 pm »
Bom dia, rogeracioly!

Isto ocorre devido a configuração de Nat Outbound, que é necessária para que a LAN possa se comunicar com a internet.

Você já tentou filtrar esta comunicação no STATES (Firewall: Diagnostics: States) ou no PACKET CAPTURE (Interfaces: Diagnostics: Packet Capture) ?

Nestas opções você terá maiores detalhes dos IPs envolvidos.

9
Portuguese - Português / Re: unbound dns
« on: June 17, 2022, 04:41:24 pm »
Bom dia, Anderson!

Este é um problema que ocorre em alguns casos de certos tipos de dispositivos que utilizam o DNS Unbound do OPNSense.

Abaixo há uma discussão sobre este assunto:

https://forum.opnsense.org/index.php?topic=23087.0

O mais comum de dar este problema é quando usam-se dispositivos REDMI.
Vi que no seu caso o causador do conflito foi um outro dispositivo: MI8Lite

Uma das soluções seria a o que você fez (desativou o release) e uma outra seria deletar a linha específica deste registro (do dispositivo que deu erro) no caminho abaixo:
/var/unbound/dhcpleases.conf

Ainda não conseguimos validar se este dispositivo "problemático" voltar a consultar o DNS Unbound, irá causar o mesmo problema novamente.

Caso queira evitar problemas futuros, você também pode usar um outro serviço de DNS do OPNSense, que é o DNSCrypt-Proxy.

Lembrando que se decidir trocar o serviço de DNS usado no firewall, sempre desabilite o antigo antes de ativar o novo.


10
Portuguese - Português / Re: Como fazer funcionar o OpenVPN + OTP + LDAP?
« on: April 14, 2022, 11:12:36 pm »
Boa tarde!

Abaixo enviaremos um tutorial resumido dos passos necessários para que o 2FA funcione juntamente com autenticação via Microsoft AD:

> Escolher o tipo “LDAP + Timebased One Time Password”;
> Hostname os IP address: Insira o IP do servidor AD;
> Bind Credencials: Insira um usuário válido no AD, o qual tenha permissões de leitura nos grupos que desejar.
> Base DN: Caminho do AD;
> Authentication containers: Selecione os locais permitidos onde este novo server irá consultar as autenticações;
> Extended Query: pode ser usada para selecionar usuários que são membros de um grupo específico (relevante apenas para serviços externos, quando não estiver usando o banco de dados de usuários local). Pode-se usar algo como: & (memberOf = CN = meuGrupo, CN = Usuários, DC = opnsense, DC = local)

Após isto, será necessário importar os usuários do AD para o firewall.
Você consegue importar em System: Access: Users, ao lado do sinal "+" no um ícone de formato de nuvem.

Caso este ícone no formato de nuvem não esteja aparecendo ao lado do "+", será necessário escolher o server AD que foi configurado no firewall em: System: Settings: Administration.
Nesta tela ache a opção Authentication e selecione na caixa de seleção ao lado o server recém criado.
Obs.: NÃO DESMARQUE A OPÇÃO LOCAL DATABASE.

Quando o icone de nuvem ficar visível em System: Access: Users, ao clicar no mesmo será aberta uma janela com os usuários do AD que cadastrou no firewall.

Selecione os usuários que deseja importar para o firewall depois abaixo clique em "Save".

Quando o usuário de AD estiver listado no firewall, localize-o e depois clique em editar.
Localize a opção OTP seed para poder gerar um novo.

Salve, volte no mesmo usuário e gora você poderá capturar a chave via OTP Seed ou via QR Code do usuário em questão.

11
Portuguese - Português / Re: Intelbras Cloud
« on: April 13, 2022, 10:59:57 pm »
Boa tarde, Anderson!

Se eu entendi corretamente, você desabilitou a regra padrão de saída liberada do seu firewall e liberou somente 3 portas para sua rede LAN: 53, 443 e 80. Estou correto?
Caso seja isto, para liberar a saída para a porta 37777, basta incluí-la também como porta autorizada a ser acessada pela sua LAN.

12
Portuguese - Português / Re: Dúvida sobre States
« on: March 15, 2022, 02:43:49 pm »
Olá!

Para que você consiga conectar a OpenVPN em quaisquer dos links de internet, (independente de ser default ou não), será preciso alterar a interface de conexão da mesma de "any" para "localhost".
Quando usado o "localhost" como intermediador das conexões na OpenVPN, a VPN "Client" é que escolhe qual link quer se conectar.

É o mesmo procedimento já explicado no link abaixo:

https://forum.opnsense.org/index.php?topic=26103.0;topicseen


Qualquer dúvida, favor informar.

13
Portuguese - Português / Re: Tshoot NAT com UDP em Multi Wan
« on: December 30, 2021, 08:44:25 pm »
Boa tarde, Coelho!

Há um modo de conexão que pode te ajudar.
Nas configurações da OpenVPN Server, no campo Interfaces escolha LOCALHOST .
Agora faça dois NATs de Entrada, (um para cada uma de suas interfaces WAN), apontando tudo que vier com destino aos respectivos IPs das suas interfaces WANs, na porta da sua OpenVPN (no caso é 1194),  sendo redirecionado para o LOCALHOST, (insira manualmente o 127.0.0.1), na mesma porta interna da OpenVPN (1194):



Quem irá determinar em qual IP irá se conectar será a OpenVPN Client, independente de ser o Gateway padrão. Em outras palavras, todas as conexões que procurarem qualquer um dos IPs Públicos das interfaces WANs, com destino a porta 1194 e com as chaves corretas, serão redirecionados para o LOCALHOST na porta 1194 também.

14
Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC
« on: December 15, 2021, 06:30:57 pm »
Se a rede 10.0.0.0/8 for a rede real da outra ponta, ela não deve ser adicionada no Manual SPD na sua IPsec, e sim no Manual SPD da IPsec de destino.

O Manual SPD indica para a Phase 2 qual ou quais IPs ou redes estão autorizados a utilizarem o IP configurado na mesma.

Portanto, ao meu ver, a configuração da Phase 2 da Ponta A deveria ser:

- LAN NETWORK: 192.168.100.0/24 (seu IP de OpenVPN)
- REMOTE NETWORK: 192.168.237.0/25 (IP Local da Ponta B)
- SPD: (vazio)


Já na IPsec da Ponta B:

- LAN NETWORK: 192.168.237.0/25 (rede escolhida para usar no D-Nat)
- REMOTE NETWORK: 192.168.100.0/24 (IP Local da Ponta A)
- SPD: 10.0.0.0/8 (IP Local real da Ponta B)

Neste cenário, na Ponta A não precisa fazer NAT, pois o IP da rede que irá se comunicar já está na Phase 2 como sendo o IP Local. Além do mais, isto iria causar conflito com a outra rota já existente, (a outra IPsec VTI que tem comunicação com a rede 10.0.0.0/16).

Já na Ponta B será necessário fazer o D-NAT abaixo:

- Rede Local: 10.0.0.0/8
- D-NAT: 192.168.237.0/25 (quando o destino for o IP 192.168.100.0/24)

Tente deste modo, se possível, e nos informe se funcionou, por favor.

15
Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC
« on: December 13, 2021, 05:41:07 pm »
Desculpe-me, pois consegui abrir sua imagem agora.

Vi que sua rede local é a 192.168.91.0/24.
Como você já possui uma rota para 10.0.0.0/16 para ir pela IPsec VTI, não poderá ter uma outra rota para 10.0.0.0/8 em outro local, pois isso irá causar conflito.

A Phase 2 da IPsec (comum) da sua ponta deverá ser:

IP Local ------ 192.168.91.0/24
IP Remoto --- 192.168.237.0/25

Já na outra ponta desta IPsec deverá ter este NAT de Saída (caso a comunicação sempre inicie na mesma) ou um Bi-NAT (NAT Onte-to-One), a fim de "mascarar" a rede 10.0.0.0/8 a sair sempre com 192.168.237.0/25, quando o destino for a sua rede 192.168.91.0/24.
Obs.: caso esta ponta utilize OPNsense, deve atentar-se em adicionar a rede 10.0.0.0/8 no campo Manual SPD Entries desta Phase 2.


Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2