Messages

Perfekt, ich danke Dir.

Vielen Dank für Eure Antworten! Das war mir leider nicht bewusst, ich dachte das  Zertifikat würde auch auf Existenz geprüft. Passwortschutz habe ich nicht, also werde ich den Weg über die Revocation List gehen. Das mache ich aber lieber, wenn ich selbst nicht auf das VPN angewiesen bin ;)

Gibt eine gute Anleitung (kann auch auch englisch sein) für das Erstellen der Revocation List?
Ich habe nur eine für pfsense gefunden https://www.informaticar.net/how-to-revocate-user-certificate-on-pfsense-openvpn/

Hi,

ich möchte einen Client aus der Zugriffsliste für das VPN entfernen. Ich habe den Benutzer und das Zertifikat gelöscht, und trotzdem kann sich der Client verbinden.
Ist das Zertifikat noch irgendwo gespeichert?
Hilft ein Neustart der OPNsense?

Danke
Freddy

Hi,

I'm using the OPNsense with OpenVPN, which works fine until now. We started using Softphones because of the corona virus and I get some issues:
Outgoing call: The called can here me, but I can not hear him.
Incoming call: The called can here me and I can hear him.

I made some tests and found out following by packet capture on the OPNsense:
On a outgoing call the RTP packets the VPN clients sends the outgoing packets through the tunnel, but the incoming packets are not sent through the VPN tunnel, but to the WAN interface.
On the incoming call the outgoing and incoming RTP packets are send through the tunnel as aspected.

I also checked the States Dump and filtered by the VPN client and RTP port and recognized, that the arrow for source -> router -> destination is different:

Outgoing call:
Int    Proto    Source -> Router -> Destination    State
all    udp    10.10.11.38:30000 -> 192.168.252.3:5004    MULTIPLE:MULTIPLE    
all    udp    192.168.252.3:5004 <- 10.10.11.38:30000    MULTIPLE:MULTIPLE

Incoming call:
Int    Proto    Source -> Router -> Destination    State
all    udp    10.10.11.38:30000 <- 192.168.252.3:5004    MULTIPLE:MULTIPLE    
all    udp    192.168.252.3:5004 <- 10.10.11.38:30000    MULTIPLE:MULTIPLE
(See images attached)

VPN Client is 10.10.11.38
Telephone system is 192.168.252.3

After an incoming call, the outgoing call works fine too, until an undefined time. Sometimes it happens, that I can't hear the called anymore.

System informations: OPNsense 19.7.8-amd64 on a APU2 board.

Is there anything that I can check, or shall I open an issue on github?

Thanks,
Freddy

Wie mimugmail bereis geschrieben hat, die Clients im Firmennetzwerk benötigen entweder die OPN als GW oder eine Route zu 192.168.100.x/24 über 172.16.0.249 - wenn ich deine Daten richig interpretiert habe.

Hi,

unsere OPNsense habe ich mit WAN Group und als OpenVPN Server eingerichtet, was allgemein gut funktioniert.
Auf der aktuellen Lage haben wir Softphones für unsere Telefonanlage eingerichtet. Bei diesen habe ich das Problem, das teilweise die RTP Pakete von der TK-Anlage nicht beim Endgerät ankommen.

Bei meinen Tests ist mir aufgefallen, dass ich den Client aus dem Intranet nicht erreichen kann (zB Ping oder HTTPS).

Meine OpenVPN Konfiguration:
Server Mode: Remote Access (SSL/TLS)
Protocol: UDP
Device Mode: tun
Interface: any
IPv4 Tunnel Network: 10.10.11.0/24
IPv4 Local Network: 192.168.252.0/24

Mein Endgerät erhält dann folgende Konfiguration:
IPv4-Adresse  . . . . . . . . . . : 10.10.11.38(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 10.10.11.37

Ich versuche einen Ping bzw. Webaufruf der IP 10.10.11.38.

Ist dies gar nicht möglich, da es en 'tun' Tunnel ist?
Oder fehlt etwas bei der Firewall?

Gruß
Freddy

The sender address can be set the recipients -> mail format

https://docs.opnsense.org/manual/monit.html?highlight=monit#alert-settings

Die Senderadresse kann bei den Empfänger in Feld mail format angepasst werden:
https://docs.opnsense.org/manual/monit.html?highlight=monit#alert-settings

https://github.com/opnsense/core/issues/3238

I tested with postfix as smtp relay, but failed to setup.

I think the problem is the email sender. In mail from is monit@OPNsense.localdomain, but I can not change this anywhere.

Hi,

after the update to 19.1 the notifications are no longer available. I tried to configure monit, but get the following messages in the logfile:
monit[95267]: SMTP: Mailserver response error -- 550 invalid DNS MX or A/AAAA resource record
monit[95267]: Mail: Mailserver response error -- 550-Requested action not taken: mailbox unavailable

We use 1und1 as mail server for our domain. According to https://intodns.com/ our entries are ok, we don't have any problems with sending e-mails on any other client. I have copied my username and password, so it can't be that.

With 18.7 the notifications still worked.

Does anyone know the problem, or has a tip for me?

Had the same issue, with 17.8, but it was a missconfiguration of my network. Doesn't seems to be at yours.

Hint from german forum was:
System: Settings: General
DNS Server
WAN 1: 8.8.8.8
WAN 2: 8.8.8.8

Monitor IP
WAN 1: 1.1.1.1
WAN 2: 9.9.9.9

Check System: Routes: Status if the routes if they are correct.

When it was not working at my installation I found the icmp packages being blocked by the firewall.

Hi,

nach dem Update auf die 19.1 sind bei mir die Notifications nicht mehr verfügbar. Ich habe versucht monit zu konfigurieren, erhalte aber folgende Meldungen im Logfile:
monit[95267]: SMTP: Mailserver response error -- 550 invalid DNS MX or A/AAAA resource record
monit[95267]: Mail: Mailserver response error -- 550-Requested action not taken: mailbox unavailable

Wir nutzen 1und1 als Mailserver für unsere Domain. Laut https://intodns.com/ sind unsere Einträge in Ordnung, wir haben auch auf keinem anderen Client Probleme mit dem E-Mail Versand. Benutzername und Passwort habe ich kopiert, daran kann es also nicht liegen.

Mit 18.7 haben die Notifications noch funktioniert.

Kennt jemand das Problem, oder hat einen Tipp für mich?

Ich habe die Einstellungen übernommen, vielen Dank dafür.

Mein Problem war allerdings das Netz.
Dadurch, dass ich zwei bestehende Router im Netz 192.168.200.0/24 habe, habe ich für die Interfaces mit den Netzmasken versucht zwei unterschiedliche Netze zu erstellen. Leider funktionierte das mit dem Ping nicht.
Ich habe jetzt den VDSL Router in das 192.168.201.0/24 Netz gepackt und die Adressen entsprechend angepasst, dann funktioniert alles einwandfrei :)

Vielen Dank nochmal.

Gruß
Freddy

In den beiden Artikeln ist aber doch genau dass beschrieben, dass die Monitor IPs als DNS Server unter System : Settings : General eingetragen werden sollen.

Irgendwie wird das merkwürdiger. Ich habe die IP Adressen der Router als DNS Server hinterlegt. Dann werden die Routen für 8.8.8.8 und 9.9.9.9 entfernt. Dann sind beide Gateways online. Im FW Log finde ich keine Einträge von 8.8.8.8 und 9.9.9.9

Als ich die Monitor IP vom WAN_VDSL auf 8.8.4.4 geändert habe, waren die beiden Routen wieder da, und das GW WAN_VDSL war wieder offline.

Habe ich Dich richtig verstanden, dass die DNS Adressen und Monitor IP Adressen unterschiedlich sein müssen?