Messages

Ohhh Mann.... Völlig übersehen. Das sind Dinge, die ich nie anfasse. Daher schaue ich da nie nach. Die hat ein anderer mal eingerichtet.

Vielen lieben Dank!

Hallo,

ich betreue derzeit eine OPNsense Hardwarefirewall.
Die installierte/angezeigt Version ist wohl die 23.7.4. Nun wollte ich ein Update machen, welches jedoch nicht funktioniert, da laut Meldung auf dem Spiegelserver keine Aktualisierung vorhanden wäre.
Ein Gesundheitstest spuckt folgendes aus:

***GOT REQUEST TO AUDIT HEALTH***
Currently running OPNsense 23.7.4 at Wed Jan 31 14:59:03 +03 2024
>>> Check installed kernel version
Version 23.7.10 is correct.
>>> Check for missing or altered kernel files
No problems detected.
>>> Check installed base version
Version 23.7.10 is correct.
>>> Check for missing or altered base files
No problems detected.
>>> Check installed repositories
OPNsense
>>> Check installed plugins
os-clamav 1.8
os-nextcloud-backup 1.0_1
>>> Check locked packages
opnsense-23.7.4
>>> Check for missing package dependencies
Checking all packages: .......... done
>>> Check for missing or altered package files
Checking all packages: .......... done
>>> Check for core packages consistency
Core package "opnsense" has 68 dependencies to check.
Checking packages: .......................
opnsense-23.7.4 version mismatch, expected 23.7.12_5
Checking packages: .............................................. done
***DONE***

Beim Versuch, ein Update zu machen, spuckt er folgendes aus:

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 23.7.4 at Wed Jan 31 15:01:46 +03 2024
Fetching changelog information, please wait... done
Updating OPNsense repository catalogue...
Fetching meta.conf: . done
Fetching packagesite.pkg: .......... done
Processing entries: .......... done
OPNsense repository update completed. 863 packages processed.
All repositories are up to date.
Checking integrity... done (0 conflicting)
Your packages are up to date.
Checking for upgrades (50 candidates): .......... done
Processing candidates (50 candidates): . done
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Keine Aktualisierungen auf dem ausgewählten Spiegelserver vorhanden.

Das Ganze kann ich auch mit jedem anderen Spiegelserver probieren, ohne Erfolg.

DNS/IP-technisch komme ich überall hin und im Changelog/Änderungsprotokoll sehe ich auch jede neuere Version bis zur 24.1. Hat jemand Ideen?

Vielen Dank!

Vielen Dank für die Antwort.

Wird das Ganze auch in 22.1.1 mit implementiert?

Hallo,
ich habe es jetzt auf 3(!) auf von mir verwalteten, unter HyperV virtualisierten OPNsense festgestellt, dass nach dem Update auf 22.1 nur noch eine sehr geringe Bandbreite zur Verfügung stand.
Beispiel Vodafone/Kabel Deutschland Anschluss:
Bandbreite: 500 down/50 up
Nach dem Update hatte ich auf einmal nur noch ~0,5 Mbit/s in beide Richtungen an Durchsatz. Backup auf 21.7.7 wieder eingespielt, ist wieder die volle Bandbreite da. Gibts dafür schon einen Workaround oder ist dieser Fehler schon bekannt?
Vielen Dank.

Hast du mal den Firewall log gecheckt?
Hast du nen Proxy eingerichtet oder sensei?

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

Der Firewall-Log sagt bei allen Paketen "pass", im Livelog sind nur Messages für Port 500 zu sehen, keine für 4500. Aber selbst die für 500 sind alle auf grün...

Proxy ist nicht aktiviert und sensei war mal installiert, aber schon seit einigen OPNsense Releases nicht mehr.

Es hat noch nie in meinem Netzwerk funktioniert, weil ich seit Anfang an mit der OPNsense arbeite. Bisher war es mir aber noch nicht so wichtig, da ich meist andere Wege gefunden habe, ein VPN zu realisieren.

Von der Telekom bekomme ich eine öffentlich erreichbare IPv4.

Die entfernte Fritzbox schließe ich mal als Problemquelle aus, da das VPN ja funktioniert, wenn ich nicht im Netzwerk meinr OPNsense bin.

bitte mal einen netzwerkplan, das hilf mir immer um das problem zu verstehen, mir hilft ein grafischer netzwerkplan

Aber gerne doch:

      .-----+-----.
      |  Mein PC  | <- mit Shrew VPN Client
      '-----+-----'
              |
      .-----+-------.   
      |  OPNsense | 
      '-----+-------'
              |
              |
              | : Einwahl über Draytek Vigor 130 PPPoE
              |
              |
      .-----+--.
      | WAN   |
      '-----+--'
              |
      .-----+-----.
      | Fritzbox   | <- Dort soll die VPN-Einwahl mittels des Shrew VPN Clients erfolgen
      '-----+-----'



Ich habe IPSec auf meiner OPNsense schon mal komplett deaktiviert. Dann habe ich das ganze mal in einem anderen von mir betreuten Netzwerk probiert. Dort funktioniert es komischerweise einwandfrei. Dann habe ich die Konfiguration verglichen. Diese ist ebenfalls gleich...
So richtig weiß ich nicht mehr, woran es liegen soll.

Ja das mit der Glaskugel ist so eine Sache... :D

Ich habe an sich alles auf Standard belassen. Nur im WAN eingehend meine Regeln für WireGuard und ansonsten die automatisch generierten Regeln für die IPSec S2S VPNs. NAT ausgehend ist auf automatisch eingestellt.

IPSec hab ich auch schonmal komplett deaktiviert, mal unter Firewall - Einstellungen - Normalisierung den Schnittstellen-Scrub deaktiviert, leider alles ohne Erfolg.

Hallo,

ich versuche schon seit längerem eine VPN-Verbindung zu einer Fritzbox aus dem Client-Netz hinter meiner OPNsense herzustellen. Dazu nutze ich den Shrew VPN Client. Wenn ich im Netz meiner OPNsense bin, schlägt der Versuch immer fehl.
Shrew sagt:

Code Select Expand

config loaded for site 'XXXX'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Sobald ich aber mein Netz der OPNsense verlasse, in ein Mobilfunknetz gehe oder mich in ein anderes WLAN hänge, funktioniert alles und der Tunnel baut sich auf. Kennt jemand dieses Problem?
Als Festnetz-Provider nutze ich die Telefon, wobei das ja keine Rolle spielen sollte...

Das gleiche Problem habe ich auch bei der Verbindung zu anderen Fritzboxen...

Vielen Dank.

VG, Chris

Ok, das habe ich mir fast schon gedacht. Schade, aber danke.

Gibt es zu diesem Thema etwas Neues? Ich habe ein sehr ähnliches Problem...

Viele Grüße

Hallo ihr lieben,

ich habe mal wieder ein kleines Problem mit der sense...
Ich versuche derzeit einen stabilen IPsec-Tunnel zwischen der OPNsense und einer Fritzbox 6490 hin zu bekommen. Der Tunnel steht ein mal für 7 Minuten, dann mal wieder nur 2 Minuten. In dieser Zeit kann ich von der OPNsense aus alles im Netz hinter der Fritzbox erreichen und auch anders herum. Sowohl Fritze als auch die OPNsense nutzen DynDNS.

Die Verbindung geht mit folgender Meldung down:

charon: 16[IKE] <con1|3> received INVALID_ID_INFORMATION error notify
charon: 16[ENC] <con1|3> parsed INFORMATIONAL_V1 request 934488822 [ HASH N(INVAL_ID) ]

Die Konfig der Fritze sieht wie folgt aus:

Code Select Expand


vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "Site-Site-VPN";
  always_renew = yes;
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = 0.0.0.0;
  remote_virtualip = 0.0.0.0;
  remotehostname = "/////DYNDNS DER OPNSENSE/////";
  localid {
    fqdn = "/////DYNDNS DER FRITZE/////";
    }
  remoteid {
    fqdn = "/////DYNDNS DER OPNSENSE/////";
    }
  mode = phase1_mode_idp;
  phase1ss = "dh14/aes/sha";
  keytype = connkeytype_pre_shared;
  key = "/////32-STELLIGER-KEY/////";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = /////PRIVATES NETZ HINTER FRITZE/////;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = /////PRIVATES NETZ HINTER OPNSENSE/////;
      mask = 255.255.255.0;
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
  accesslist = "permit ip any /////PRIVATES NETZ HINTER OPNSENSE///// 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}


In der OPNsense habe ich folgendes konfiguriert:

Code Select Expand

Anschlussart: standard
Schlüsselaustauschversion:          V1
Internetprotokoll: IPv4
Schnittstelle: WAN
Ferner Gateway: ///DynDNS der Fritzbox///
Dynamic gateway: aktiv
Beschreibung: Site-Site-VPN

Phase 1
Authentifizierungsmethode:         Mutual PSK
Bestimmungsmodus: Main
Meine Kennung: Meine IP-Adresse
Peer-Identifizierer:         Bedeutender Name + ///DynDNS der Fritzbox///
Pre-Shared-Schlüssel:         ///PSK///
Verschlüsselungsalgorythmus:            AES 256
Hashalgorythmus: SHA1
DH Schlüsselgruppe: 14
Lebenszeit: 28800
Install policy: aktiv
ReKey deaktivieren: inaktiv
Reauth deaktivieren:         inaktiv
Tunnelisolation: inaktiv
NAT Traversal: Aktivieren
MOBIKE deaktivieren:         inaktiv
Dead Peer Detection:         aktiv - 10 - 5

Phase 2
Modus: Tunnel IPv4
Typ lokales Netzwerk:          Privat Subnetz
Typ entferntes Netzwerk:          ///NETZ HINTER FRITZBOX///
Protokoll: ESP
Verschlüsselungsalgorythmen:             AES 256
Hashalgorythmus: SHA1
PFS Schlüsselgruppe:          14
Lebenszeit: 28800

Die Fritzbox ist auf Firmwarestand 7.10 und die OPNsense auf 19.7

Hat jemand eine Idee, wo das Problem liegen könnte? Mich wundert es eben, dass der Tunnel erst zu Stande kommt, aber nicht lange gehalten werden kann....

Vielen Dank!

Hm... Ok. Dann muss eben doch eine mSATA SSD her...

Vielen Dank erstmal für die Info!

Versuch doch mal das jeweilige Tunnelinterface anzupingen, so als ersten Prüfpunkt...

Ich wüsste nicht, was ich da ändern sollte, gerade weil der Speicher ja mit den anderen Betriebssystemen erkannt wird....

Hallo liebe Community,

seit heute habe ich als Ersatz für meinen Shuttle PC einen UP squared mit 4GB RAM und 32GB eMMC Speicher.

So weit, so gut.
Leider erkennt OPNsense bei der Installation den eMMC-Speicher nicht.
Um auszuschließen, dass es am Speicher liegt, habe ich testweise mal Windows 10 und auf einmal pfSense installiert. Hat alles wunderbar geklappt. Überall wurde der Speicher erkannt, nur bei OPNsense nicht.

Hat jemand eine Idee, wo das Problem liegen könnte?

Vielen Dank!