Messages

Hallo an die Experten,
meine Opnsense hängt an einem Nighthawk M1 Router mit Vodafone LTE SIM. Ich konnte die konfigurierte IPSec Verbindung bereits herstellen und nutzen.

Das Problem: wird die Interentverbindung am Nighthawk z.B. durch Ausschalten des Router getrennt wird die IPSEC S2S nicht wieder aufgebaut. Nach Änderungen in den Einstellungen kann es dann sein, dass die S2S Verbindung wieder hergestellt wird.
Der Nighthawk hängt hinter CGN von Vodafone. Der entfernte VPN Endpunkt hat ene feste IP.

Hat jemand Erfahrung mit dieser Konstellation und kann mir ev. Hinweise zur Einstellungen geben?

Grüße von Rainer

Hallo an Alle,

ich habe eine Frage zum HAPRoxy im Bereich Conditions:

Dort gibt es die Condition type: z.B. "host matches" den Wert im Eingabefeld "Host String".
Das funktioniert bei mir sehr gut. Ich kann dann, je nach ankommenden Host String, über die Rules zwei verschiedene Backendserver anzusprechen.

Kann mir jemand erklären oder eine Fundstelle zum Nachlesen nennen welcher String (Browserzeile, HTTP Post, HTTP Get, etc.) durchsucht wird um dann true/false zurückzugeben.

Beispiel:

https://meine.domain.de/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fserver.domain.de%2fowa%2f%23authRedirect%3dtrue

ruft normalerweise die OutlookWebApp auf. Nur diese Webseite will ich über den HAProxy zulassen. Ich dachte es sollte gehen wenn über "Path matches" der String "2fowa" gesucht wird und in den Rules mit logischem AND mit der ersten Bedingung aus "host matches" verknüpft wird.

Genau dieses Vorgehen funktioniert aber nicht! Alle meine Versuche bringen als Ergebnis, weder die OWA noch die ECP Seite oder andere Exchangeseiten werden im Browser aufgerufen. Es wird immer ein HTTP Error im Browser angezeigt.

Weitere Einzelheiten gerne.

Viele Grüße
Rainer

Frage wäre weshalb schlägt der ping auf das TelekomWAN Interface fehl.
Oder muss definitiv eine GW Gruppe konfiguriert werden.

Ziel ist es über das TelekomWAN GW das OpenVPN abzuwickeln. Alle andere Kommunikation soll
über das Unitymedia GW laufen.

Ich stehe momentan auf dem Schlauch.

Grüße von Rainer

und der Packet Capture.

und die Ergebnisse von einer weiteren OPNSense im Netz.

und weiter die Regeln der WAN Schnittstellen.

und weiter ...

die Gateways

Hallo micneu,

nun die Bilder.

Bild01+02 die WAN Schnittstellen

Hallo micneu,

die OPNSense läuft direkt auf Blech.

Den Netzwerkplan werde ich heute im Laufe des Tages fertig machen und posten. Soll ich Scrennshots von der Konfiguration machen oder per Text? Geb bitte Bescheid. Wie das im Forum am besten gehandhabt wird, weiß ich noch nicht so genau.

Gruße Rainer

Hallo an Alle,

ich habe folgenden Versuch mit der neuesten Version von OPNSense gemacht und kann mir aus dem folgenden Verhalten keinen Reim machen. Kann mir irgend jemand mit einem Tipp weiterhelfen.

Wie gesagt hat die OPNSense 2 WAN Schnittstellen mit 2 konfigurierten WAN Gateways. Im Single GW Menü wird mir über die MonitorIP angezeigt, dass beide GW online sind und keinen Packet Loss o.ä. haben, d.h. sie funktionieren.

Der 1.WAN GW wird als 'active' sprich als Default GW angegeben. Mein normaler Internetnetzugriff läuft ohne Einschränkungen über diesen GW. Auch in den FW Rules für diese WAN Schnittstelle ist der Default GW eingetragen.

Auf der 2.WAN Schnittstelle kann ich von der Firewall selbst mit passender Rückantwort z.B. den Host 9.9.9.9 pingen.

Pinge ich aber von einen beliebigen Internethost die 2.WAN Schnittstelle wird der Ping nicht beantwortet. Die ICMP Regel auf dieser Schnittstelle ist eindeutig auf 'pass' gesetzt und als GW ist auch der 2.WAN GW in der Regel konfiguriert.  Im Live View sehe ich dann, dass diese ICMP Packete die FW Regel passieren. Im Packet Capture sind die empfangenden ICMP Packete ebenfalls vorhanden, aber es sind keine Antwortpackete aufgezeichnet. Dementsprechend wird in der Fensteranziege des Pings alle Packete als verloren ausgegeben.

Ich möchte bewusst auf Loadbalancing/Failover verzichten und eigentlich nur ein Policy Based Routing über Firewallregeln konfigurieren. Deashalb habe ich auch keine Gateway Group konfiguriert.

Hat jemand Erfahrung in einer solchen Konfiguration und könnte mir Tipps geben weshalb es bei mir nicht funktioniert.

Gerne kann ich auch weitere detailliertere Angabn liefern.

Vielen Dank für eure Antworten.

Hallo an Petrus,

danke für die Info's. Werde es mal mit Knoppix Linux versuchen.
Mit den passenden Befehlen auf der OPN SSH Ebene konnte ich keine
Karte erkennen.  Die PCIe steht auf Auto. Ich werde diese mal Heruntersetzen.
Der mini PCIe/mSata Slot ist nicht belegt aber eingeschaltet. Ich werde ihn auch mal ausschalten.
Sobald ich weiter getestet habe werde ich nochmals berichten. Diese Hardwarebasis ist ganz interessant
für OPN Installation. Verschiedene Intelprozessoren möglich, miniPCIe mit und ohne mSATA Slots, 19 Zoll Format usw.

LG
Rainer

Hallo an Alle,

ich habe das genannte System. OPNSense aktuelle Version bootet ohne Probleme
und erkennt die beiden Onboard Ethernetschnittstellen. Die Zusatzkarte in PCI-E
Slot mit Reltek oder Intel I350 Chipsatz wird jedoch nicht erkannt. Geladen wird
der Realtek Treiber. BIOS ist auf dem neuesten Stand. Der deutsche Distributor
hat das System geprüft und meint, dass alles ok wäre.

Hat jemand eine Idee weshalb keine der Karten im PCI-E Slot erkannt wird.

Viele Grüße
Rainer

Lösung zum beschriebenen Problem gefunden:

in der aktuellen Version OPNsense 19.1.6-amd64 gibt es den Tunnel Settings Phase1 ein Konfigurationsfeld Install Policy. Dort muss ein Häckchen rein. Ob es per Default gesetzt ist habe ich nicht getestet.

Unter der Doku wird angegeben: Decides whether IPsec policies are installed in the kernel by the charon daemon for a given connection. When using route-based mode (VTI) this needs to be disabled.

Da bei stehendem Tunnel der State "Installed Routed" angezeigt wird bin ich davon ausgegangen, dass kein Hacken gesetzt sein muss!

Viellicht war meine Interpretation ja falsch. Kann mir jemand dazu nähere Info's geben.

--------------------------

In der Version OPNsense 19.1.1-amd64 ist dieser Konfigurationspunkt gar nicht vorhanden. Es funktioniert nach der passenden Konfiguration!

--------------------------

Grüße

Hallo an Alle,

ich habe 2x OPNsense:

OPNsense am Standort A
OPNsense am Standort B (Remoteseite)
Am Standprt B (Remoteseite) habe ich in der OPNSense insgesamt 3 Interface für verschiedene interne Netze. (LAN/LAN2/LAN3) und 1x WAN Interface mit statischer öffentlicher IP konfiguriert. Auf der Remoteseite funktoniert alles wie gewollt. Internetzugriff von allen 3 internen Netzen, 3x DHCP usw.

Die VPN IPSec Konfiguration ist wie folgt:

1x IPV4 IKEv2 auf die Remoteseite und die IKEV2 für die lokale Seite.
3x ESP IPv4 Tunnel mit den lokalen Subnetzen auf der Remoteseite und passend auf der lokalen Seite.

Pinge ich eine passende IP Adresse aus dem jeweiligen Netz der Remoteseite geht der Tunnel hoch und zeigt im Status Overview den State INSTALLED Routed an. auch alle anderen Einträge in dieser Übersicht passen. Leider  kommen keine ICMP Packete am lokalen Host von dem gepingt wurde vom Remotehost an. Im Packetcapture auf der Remoteseite kann ich im Remote IPSec Interface das eingehende ICMP Packet sehen. Im zugehörenden internen Interface (Remote LAN/LAN2/LAN3) ist das ankommende und das vom Remotehost zurückgesendete Packet verzeichnet.

Leider im Remote IPSEC Interface nicht mehr das vom Remotehost zurückgesendete??? (im passenden lokalen Interface war es ja noch sichtbar)

Ich sehe auch auf der lokalen Seite, dass der Byte out Zähler hoch geht. Dto. auf der Remoteseite der Bytes in Zähler. Dementsprechend ist auf der Remtoeseite der Bytes Out Zähler immer 0 (NULL)!

Bei einer Remote OPNsense mit nur einem internen Interface LAN gibt es keine Probleme beim Tunnelaufbau und dem Zugriff auf die Remotehosts. Alles funktioniert wie gewollt.

Ich vermute, dass der automatsiche Routingeintrag mit mehreren Interfacen nicht funktioniert?!

Hat jemand ein ähnliches Szenario oder kann mir einen Tipp geben wo ich weitersuchen kann.

Ich komme einfach nicht klar, dass das ankommende und zurückgesendete Packet an den internen Interfacen der Remoteseite sichtbar sind, aber im IPSec Interface auf der Remtoeseite nur mehr das ankommende Packet angezeigt wird. Außerdem funktioniert es ja bei der Konstellation Remoteseite mit nur einem internen Interface LAN!

Würde mich über eine Antwort freuen. Sollten mehr Infos notwendig sein, kann ich gerne Genaueres mitteilen.

Hallo,
ich habe am WE meine OPNSense wie genannt upgedated.
Jetzt stelle ich fest, dass die konf. IPSEC Rules nicht mehr greifen.
Selbst wenn ich eine Reject any to any Regel auf das IPSEC Interface an erster Position konfiguriere wird z.B.
ein Ping vom Remotehost anstandslos beantwortet. Dto. z.B. Windows RemoteDesktop.
Im Firewalllog erscheinen die Packet immer als PASS Eintrag.

Firewall States Reset, StrongsWan und PF Neustart wurden veranlasst. Ich weiss allerdings nicht mehr sicher ob in der vorherigen Version (18.x ) sich das gleicher Verhalten zeigte.

Hat jemand gleiche Erfahrung bzw. eine Idee was falsch konfiguriert ist?

Grüße von
RaBo