OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of shadow010 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - shadow010

Pages: [1] 2 3
1
German - Deutsch / Re: PPP Schnittstelle teilweise nach neustart nicht mehr vorhanden
« on: May 23, 2024, 10:56:36 pm »
Halli Hallo

Den PIN habe ich nochmals entfernt was keinen Unterschied macht.
Als Initialisierungskette habe ich mal noch &F&C1&D2E0S0=0${temp} versucht was immer hin dazu führte dass von 20 Kaltstarts das Modul 12 mal Online kam.

Leider weiss ich nicht genau wie man das Timeing Problem beheben kann. Was ich aber sehe wenn es klappt und das Modul online kommt sind im /tmp Ordner diverse ppp0_* Files vorhanden und die Datei ifconfig_debug enthält auch die korrekten IPs etc. Die ppp0_ Files werden nicht angelegt wenn die Firewall nicht online kommt.

Gruss und Danke

2
German - Deutsch / Re: PPP Schnittstelle teilweise nach neustart nicht mehr vorhanden
« on: May 23, 2024, 12:10:11 pm »
Hallo Patrick

Danke für deine Antwort

Ich sehe in den Punkt zu Punkt Logs dass die Sense beim aufstarten jedes mal [wan_link0] CHAT: +CPIN: SIM PIN anzeigt. Der Pin ist aber korrekt hinterlegt und ich habe zum testen ein SIM-Pin warten = 20 eingetragen was nichts bringt, da nach Log nur ein Verbindungsversuch gemacht wird aber nicht nochmals die ganze Karte initialisiert und der PIN wird dadurch auch nicht nochmals abgefragt.

Wenn die Sense läuft und ich jetzt auf Schnittstelle - PzP - PPP0 - bearbeiten klicke nichts ändere und nochmals speichere funktioniert die Verbindung und sagt dann auch [wan_link0] CHAT: +CPIN: READY. Was mich dazu bewogen hat anzunehmen dass entweder ein Timeingproblem (daher Sim-Pin warten = 20) vorliegt oder durch das erneute speichern die Konfiguration erst korrekt eingelesen wird.

kennst Du hierfür eine Lösung?

Gruss und Danke Dir




3
German - Deutsch / Re: PPP Schnittstelle teilweise nach neustart nicht mehr vorhanden
« on: May 23, 2024, 11:08:31 am »
hallo zusammen

kann mir jemand sagen warum es nach einem erneiten bearbeiten (ohne änderung) speichern der PPP Einstellungen geht? oder in welchem config File die Änderung übernommen wird?

Danke

4
German - Deutsch / Re: PPP Schnittstelle teilweise nach neustart nicht mehr vorhanden
« on: May 22, 2024, 02:26:15 pm »
NACHTRAG:

Ich kann zur Zeit das Problem etwas eingrenzen. Nach einem Neustart kann ich auf Punkt zu Punkt Schnittstelle klicken - Bearbeiten und ohne Änderung wieder speichern. Nach ein paar Sekunden ist die Schnittstelle wieder online. Per Cron habe ich einen Schnittstellen reset nach dem Neustart versucht was nicht das gewünschte Ziel erbringt.

WEnn ich bei der Punkt zu Punkt Schnittstelle auf speichern klicke, kann mir jemand sagen in welchem File die änderung gespeichert wird? So könnte ich vieleich in der Shell das Problem lösen?

Gruss und Danke

5
German - Deutsch / PPP Schnittstelle teilweise nach neustart nicht mehr vorhanden
« on: May 19, 2024, 12:31:45 pm »
Hallo Zusammen

Ich versuche seit einer Woche mein WAN via SIM Modul "Incorporated Sierra Wireless EM7455 Qualcomm" permanent online zu bringen. Das Modul ist mal online und je nach dem nach einem Neustart wieder online oder eben nicht. Ich verstehe das Phänomen nicht ganz. In den angehängten Logs sieht man dass das Modul beim Start um "system.log" 13:29/ "PPP.log"13:30 online kommt.
beim Neustart um "system.log" 13:44 / "PPP.log" 13:43 auch wieder online ist
beim Neustart um "system.log" 13:57 / "PPP.log" 13:57 nicht mehr onlin kommt

system.log und PPP.log sind im Anhang

Könnt Ihr mir weiterhelfen und mir sagen warum das Modul mal online kommt und mal nicht? Auch wenn ich ihm den Strom abziehe und so einen Hardresat durchführe passiert das selbe.

Gruss und Danke euch im voraus

6
German - Deutsch / SIM Moduel online bringen
« on: May 15, 2024, 11:20:14 am »
Hallo zusammen

Ich habe ein EM7455 Modul in meiner Firewall verbaut welche ich nun online bringen will.
IC hhabe das Modul mit einem anderen Provider schon online gebracht nun soll es aber mit den neuen Provider und einer Privaten APN online kommen. So wie es aussieht bezieht das Modul / WAN aber keine IP. Könnt ihr mir da weitergelfen oder sagen woran das Problem liegen könnte?

Code: [Select]
2024-05-15T13:01:53 Informational ppp process 70987 terminated
2024-05-15T13:01:53 Informational ppp [wan_link0] Link: Shutdown
2024-05-15T13:01:53 Informational ppp [wan] Bundle: Shutdown
2024-05-15T13:01:53 Informational ppp [wan] IPCP: Close event
2024-05-15T13:01:53 Informational ppp [wan] IFACE: Close event
2024-05-15T13:01:53 Informational ppp fatal error, exiting
2024-05-15T13:01:53 Informational ppp ASSERT "!m->opened" failed: file "modem.c", line 215
2024-05-15T13:01:53 Informational ppp 0x1634328a8cd8 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x1634328a9355 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x16343287b949 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x163432893511 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x16343289611b <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x1634328458f5 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp 0x1634328676f1 <???> at /usr/local/sbin/mpd5
2024-05-15T13:01:53 Informational ppp [wan_link0] CHAT: Detected Sierra Wireless Modem.
2024-05-15T13:01:53 Informational ppp [wan_link0] LCP: LayerStart
2024-05-15T13:01:53 Informational ppp [wan_link0] LCP: state change Initial --> Starting
2024-05-15T13:01:53 Informational ppp [wan_link0] LCP: Open event
2024-05-15T13:01:53 Informational ppp [wan_link0] Link: OPEN event
2024-05-15T13:01:53 Informational ppp [wan_link0] Link: reconnection attempt 1
2024-05-15T13:01:49 Informational ppp [wan_link0] Link: reconnection attempt 1 in 4 seconds
2024-05-15T13:01:49 Informational ppp [wan_link0] LCP: state change Closed --> Initial
2024-05-15T13:01:49 Informational ppp [wan_link0] LCP: Down event
2024-05-15T13:01:49 Informational ppp [wan_link0] Link: DOWN event
2024-05-15T13:01:49 Informational ppp [wan_link0] LCP: LayerFinish
2024-05-15T13:01:49 Informational ppp [wan_link0] LCP: state change Closing --> Closed
2024-05-15T13:01:47 Informational ppp [wan_link0] LCP: SendTerminateReq #3
2024-05-15T13:01:45 Informational ppp [wan_link0] LCP: LayerDown
2024-05-15T13:01:45 Informational ppp [wan_link0] LCP: SendTerminateReq #2
2024-05-15T13:01:45 Informational ppp [wan] IPCP: state change Closed --> Initial
2024-05-15T13:01:45 Informational ppp [wan] IPCP: Down event
2024-05-15T13:01:45 Informational ppp [wan] IPCP: state change Stopped --> Closed
2024-05-15T13:01:45 Informational ppp [wan] IPCP: Close event
2024-05-15T13:01:45 Informational ppp [wan] Bundle: Status update: up 0 links, total bandwidth 9600 bps
2024-05-15T13:01:45 Informational ppp [wan_link0] Link: Leave bundle "wan"
2024-05-15T13:01:45 Informational ppp [wan_link0] LCP: state change Opened --> Closing
2024-05-15T13:01:45 Informational ppp [wan_link0] LCP: Close event
2024-05-15T13:01:45 Informational ppp [wan_link0] Link: CLOSE event
2024-05-15T13:01:45 Informational ppp [wan] Bundle: closing link "wan_link0"...
2024-05-15T13:01:45 Informational ppp [wan] Bundle: No NCPs left. Closing links...
2024-05-15T13:01:45 Informational ppp [wan] IPCP: LayerFinish
2024-05-15T13:01:45 Informational ppp [wan] IPCP: state change Req-Sent --> Stopped
2024-05-15T13:01:45 Informational ppp [wan] IPCP: parameter negotiation failed
2024-05-15T13:01:45 Informational ppp [wan_link0] LCP: no reply to 1 echo request(s)
2024-05-15T13:01:43 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:43 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:43 Informational ppp [wan] IPCP: SendConfigReq #10
2024-05-15T13:01:41 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:41 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:41 Informational ppp [wan] IPCP: SendConfigReq #9
2024-05-15T13:01:39 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:39 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:39 Informational ppp [wan] IPCP: SendConfigReq #8
2024-05-15T13:01:37 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:37 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:37 Informational ppp [wan] IPCP: SendConfigReq #7
2024-05-15T13:01:35 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:35 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:35 Informational ppp [wan] IPCP: SendConfigReq #6
2024-05-15T13:01:33 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:33 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:33 Informational ppp [wan] IPCP: SendConfigReq #5
2024-05-15T13:01:31 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:31 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:31 Informational ppp [wan] IPCP: SendConfigReq #4
2024-05-15T13:01:29 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:29 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:29 Informational ppp [wan] IPCP: SendConfigReq #3
2024-05-15T13:01:27 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:27 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:27 Informational ppp [wan] IPCP: SendConfigReq #2
2024-05-15T13:01:25 Informational ppp [wan]   COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
2024-05-15T13:01:25 Informational ppp [wan]   IPADDR 0.0.0.0
2024-05-15T13:01:25 Informational ppp [wan] IPCP: SendConfigReq #1
2024-05-15T13:01:25 Informational ppp [wan] IPCP: state change Starting --> Req-Sent
2024-05-15T13:01:25 Informational ppp [wan] IPCP: Up event
2024-05-15T13:01:25 Informational ppp [wan] IPCP: LayerStart
2024-05-15T13:01:25 Informational ppp [wan] IPCP: state change Initial --> Starting
2024-05-15T13:01:25 Informational ppp [wan] IPCP: Open event
2024-05-15T13:01:25 Informational ppp [wan] Bundle: Status update: up 1 link, total bandwidth 150000000 bps
2024-05-15T13:01:25 Informational ppp [wan_link0] Link: Join bundle "wan"
2024-05-15T13:01:25 Informational ppp [wan_link0] Link: Matched action 'bundle "wan" ""'
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: authorization successful
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAP: rec'd SUCCESS #1 len: 4
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAP: sending RESPONSE #1 len: 25
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAP: Using authname "user"
2024-05-15T13:01:25 Informational ppp [wan_link0]   Name: "UMTS_CHAP_SRVR"
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAP: rec'd CHALLENGE #1 len: 35
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: rec'd Discard Request #1 (Opened)
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: LayerUp
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: auth: peer wants CHAP, I want nothing
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: state change Ack-Sent --> Opened
2024-05-15T13:01:25 Informational ppp [wan_link0]   MAGICNUM 0x7e61e72c
2024-05-15T13:01:25 Informational ppp [wan_link0]   MRU 1500
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACCMAP 0x000a0000
2024-05-15T13:01:25 Informational ppp [wan_link0]   PROTOCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACFCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: rec'd Configure Ack #1 (Ack-Sent)
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: state change Req-Sent --> Ack-Sent
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACFCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   PROTOCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   MAGICNUM 0x03e4921d
2024-05-15T13:01:25 Informational ppp [wan_link0]   AUTHPROTO CHAP MD5
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACCMAP 0x00000000
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: SendConfigAck #0
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACFCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   PROTOCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   MAGICNUM 0x03e4921d
2024-05-15T13:01:25 Informational ppp [wan_link0]   AUTHPROTO CHAP MD5
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACCMAP 0x00000000
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: rec'd Configure Request #0 (Req-Sent)
2024-05-15T13:01:25 Informational ppp [wan_link0]   MAGICNUM 0x7e61e72c
2024-05-15T13:01:25 Informational ppp [wan_link0]   MRU 1500
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACCMAP 0x000a0000
2024-05-15T13:01:25 Informational ppp [wan_link0]   PROTOCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0]   ACFCOMP
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: SendConfigReq #1
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: state change Starting --> Req-Sent
2024-05-15T13:01:25 Informational ppp [wan_link0] LCP: Up event
2024-05-15T13:01:25 Informational ppp [wan_link0] Link: UP event
2024-05-15T13:01:25 Informational ppp [wan_link0] MODEM: chat script succeeded
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAT: Connected at 150000000.
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAT: ATDT*99***1#
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAT: Dialing server at *99***1#...
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAT: Detected Sierra Wireless Modem.
2024-05-15T13:01:25 Informational ppp [wan_link0] CHAT: +CGDCONT=1,"IP","iot.MEINE.APN"
2024-05-15T13:01:05 Informational ppp [wan_link0] CHAT: Model: EM7455
2024-05-15T13:01:05 Informational ppp [wan_link0] CHAT: +CPIN?
2024-05-15T13:01:05 Informational ppp [wan_link0] LCP: LayerStart
2024-05-15T13:01:05 Informational ppp [wan_link0] LCP: state change Initial --> Starting
2024-05-15T13:01:05 Informational ppp [wan_link0] LCP: Open event
2024-05-15T13:01:05 Informational ppp [wan_link0] Link: OPEN event
2024-05-15T13:01:05 Informational ppp [wan] Bundle: Interface ng0 created
2024-05-15T13:01:05 Informational ppp web: web is not running
2024-05-15T13:01:05 Informational ppp process 70987 started, version 5.9
2024-05-15T13:01:05 Informational ppp
2024-05-15T13:01:05 Informational ppp Multi-link PPP daemon for FreeBSD

7
German - Deutsch / Routing durch VPN Tunnel stezifischer Dienste/Seiten
« on: December 29, 2023, 02:43:10 am »
Hallo Zusammen

Ich steht gerade vollkommen auf dem Schlauch.

Ich habe eine Site2Site VPN aus welcher ich gewisse Clients erreichen kann.

Nun möchte ich folgendes realisieren
1. Wenn z.B. der Alias _DurchVPNRouten mit dem Hosteintrag 8.8.8.8 vom WLAN-Client 192.168.2.20 aufgerufen wird, dieser durch die VPN geschleust wird und über die zweite Firewall ins Netz geht.
2.  Alle nicht Aliase der Clienten gehen normal ins Internet was kein Problem ist (Normale Regel die greift)
3. Bricht der VPN Tunnel ab soll der Client wenn z.B. tracert 8.8.8.8 ausgeführt wird nicht via Standartgateway inst Netz kommen.

Ich habe dazu versucht:
Da ich WireGuard Nutze Schnittstelle hinzugefügt auf der Clientfirewall ohne weiter sie zu konfigurieren.
SiteA hat die 10.0.0.1 SiteB 10.0.0.100 Routing und Gateway in den Instances nicht konfiguriert(default belassen)
Einzelnes Gateway erstellt und die Schnittstelle von zuvor hinzugewiesen
Route dazu erstellt welche von der Schnittstelle nach 192.168.30.0/24 (LAN SiteA) zeigt (müsste hier 10.0.0.1/24 sein???)

Regel für WAN:
Ziel _DurchVPNRouten Gateway (das zuvor erstellte)
ich habe noch ein Ausgehendes NAT versucht Quelle: WAN Adresse, Ziel: _DurchVPNRouten, NAT: 10.0.0.1/32 (auch mit 192.168.30.1/32 versucht)

Braucht ihr noch mehr Infos?
Wie genau sind die Schritte um das zu bewerkstelligen? Wo ist mein Denkfehl?

8
German - Deutsch / Re: Site to Site VPN WireGuard Verkehr umleiten
« on: December 26, 2023, 02:49:59 pm »
Hallo zusammen

Ich habe nun auf meinem ESXi zwei OPNsense installiert mit je einem Win10Pro Client dahinter welche das Szenario Selective Routing simulieren sollen.

*** Firewall Site B Konfigutration ***
in der Allgemeinen Konfiguration:
Code: [Select]
DNS überschreiben: Hacken gesetzt
Resolver aktivieren: Hacken gesetzt
WireGuard installiert und unter Peer folgendes:
Code: [Select]
Aktiviert: Hacken gesetzt
Name: Peer2SiteA
Öffentlicher Schlüssel: Key von SiteA Instance
Zugelassene IPs: 0.0.0.0/0
Endpoint adress: (Wan IP der SiteA OPNsense) 192.168.1.113
Endpoint port: 51820
Instances: SiteB
Keepalive interval: 25
unter Instance SiteB
Code: [Select]
Aktiviert: Hacken gesetzt
Name: SiteB
Öffentlicher Schlüssel generiert und kopiert für SiteA später
Höhrender Port: 51820
Tunnel address: 10.0.8.2/32
Peers: Peer2SiteA
Disable routes: Hacken gesetzt
Gateway: 10.0.8.1
Interface if_wg1_SelectiveToSiteA:
Code: [Select]
Schnittstelle aktivieren: Hacken gesetzt
Beschreibung: WG Selektive zu Seite A
VPN - WireGuard - Einstellungen bei aktiviert Hacken gesetzt und Sense neu gestartet

System - Gateway - Einzeln
Code: [Select]
Name: WG_Gateway2SiteA
Beschreibung: WG_Gateway2SiteA
Schnittstelle: if_wg1_SelectiveToSiteA
Addressfamilly: IPv4
IP-Adresse: 10.0.8.1
Ferner Gateway: Hacken gesetzt
Deaktiviere Gatewayüberwachung: Hacken ENTFERNT
Diesable Hostroute kein Hacken
Monitor-IP 10.0.8.1
Priority: 255
Firewall - Aliases
Code: [Select]
Aktiviert: Hacken gesetzt
Name: WG_Destination_URLs
Typ: Hosts
Inhalt: www.google.com, google.com
Beschreibung: Liste der weitergeleiteten URLs
zweiter Alias zum Testen für google IP-Range: (mir ist bewusst das für google der Range grösser ist)
Code: [Select]
Aktiviert: Hacken gesetzt
Name: WG_Destination_Netzwerk
Typ: Netzwerke
Inhalt: 8.8.8.0/24
Beschreibung: Liste de rweitergeleiteten Netzwerke
Firewall - Regeln - LAN - Hinzufügen
Code: [Select]
Schnittstelle: LAN
TCP/IP: IPv4
Quelle: LAN Netzwerk
Ziel: WG_Destination_URLs
Gateway: WG_Gateway2SiteA - 10.0.8.1das gleiche nochmals aber mit Ziel WG_Destination_Netzwerke

Die beiden Standartregeln(Default allow LAN.. IPv4 und 6) habe ich deaktiviert um zu prüfen ob der traffic wirklich via SiteA hinaus geht.
Die von WireGuard angelegte Regel: if_wg1_selectiveToSiteA sowie die Standartregel WireGuard (Gruppe) habe ich nicht konfiguriert.



***Firewall SeiteA:***
WireGuard installiert:
Code: [Select]
DNS überschreiben: Hacken gesetzt
Resolver aktivieren: Hacken gesetzt
unter Peer folgendes angelegt (benötige ich hier überhaupt ein Peer?)
Code: [Select]
Aktiviert: Hacken gesetzt
Name: PeerVonSiteB
Öffentlicher Schlüssel: Key von SiteB Instance
Zugelassene IPs: 10.0.8.2/32
Endpoint adress: (WAN IP der SiteB OPNsense) 192.168.1.108
Endpoint port: 51820
Instances: SiteASelectiveRouting
Keepalive interval: 25
Instance hinzugefügt:
Code: [Select]
Aktiviert: Hacken gesetzt
Name: SiteASelectiveRouting
Öffentlicher Schlüssel generiert und kopiert für SiteA später
Höhrender Port: 51820
Tunnel address: 10.0.8.1/32
Peers: Peer2SiteB
Disable routes: kein Hacken gesetzt
Gateway: leer
Schnittstelle - Zuweisen
Code: [Select]
Schnittstelle aktivieren: Hacken gesetzt
Beschreibung: if_Wg_SelectiveRouting
VPN - WireGuard - Einstellungen bei aktiviert Hacken gesetzt und Sense neu gestartet

System - Gateway - Einzeln
Code: [Select]
Name: WG_GatewaySiteA
Beschreibung: WG_Gateway from SiteB
Schnittstelle: if_wg_SelectiveTRouting
Addressfamilly: IPv4
IP-Adresse: dynamic
Upstream Gateway: Hacken gesetzt ?????? (Falsch?)
Ferner Gateway: kein Hacken
Deaktiviere Gatewayüberwachung: Hacken gesetzt
Diesable Hostroute: kein Hacken
Priority: 255
Firewall - Regeln - if_Wg_SelectiveRouting - Hinzufügen
Code: [Select]
Schnittstelle: if_Wg_SelectiveRouting
TCP/IP: IPv4
Quelle: jegliche
Ziel: jegliche
Gateway: WAN_DHCP - 192.168.1.1das gleiche nochmals aber mit Ziel WG_Destination_Netzwerke

Die von WireGuard angelegte Regel: WireGuard (Gruppe) habe ich nicht konfiguriert. Das LAN auf dieser Firewall habe ich auch nicht weiters konfiguriert da nicht relevant.

Könnt Ihr mir sagen wo der Denkfehler liegt?

Gruss und Danke

9
German - Deutsch / Re: Site to Site VPN WireGuard Verkehr umleiten
« on: December 26, 2023, 02:55:10 am »
Hallo zusammen

Leider bin ich immer noch nicht weiter und hoffe auf Hilfe! Eigentlich möchte ich ja ein Sekektives Routing und habe mit dazu auch schon diese Anleitung konzultiert: https://forum.opnsense.org/index.php?topic=27449.0
Was genau muss ich aber am EndPoint SiteA machen damit der Traffic von SiteB hinausgeht?

Gruss und Danke

10
German - Deutsch / Site to Site VPN WireGuard Verkehr umleiten
« on: December 24, 2023, 03:22:55 am »
Hallo Zusammen

Ich habe gesehen das einige ändliche Probleme haben wie ich, nur werde ich leider aus den Antworten nicht schlau. Ich möchte dass gewisse Clients hinter Firewall B via Firewall A inst Internet gehen.

Ich habe ein Haus mit zwei Firewalls die WireGuard für eine Site to Site VPN nutzen. Der eine Teil bewohne ich und der andere Teil ist für mein Gewerbe.
zum Setup:
Firewall Site A (WireGuard 10.100.100.1/24): 192.168.23.1/24 ist das Netz welches auch von Seite B erreichbar ist z.B. Drucker 192.168.23.100
Firewall Site B (WireGuard 10.100.100.2/24): 192.168.14.1/24 ist das Netz welches auch von Seite A erreichbar ist z.B. Ping auf Client 192.168.14.105
Heisst die beiben Netze funktionieren und kommunizieren auch ein wand frei miteinander.

Nun will ich aber dass der Client 192.168.14.100 der hinter der Firewall B sitzt ins Internet via WAN der Firewall A geht. Beide Firewalls haben ein Gateway. z.B. Firewall A:
Schnittstlle: WireGuard_S2S_SiteB (schnittstelle wg1)
IP-Adresse: dynamic
Ferner Gateway: Hacken gesetzt
Deativiere Gatewayüberwachung: Hacken gesetzt

Da der Client 192.168.14.100 hinter der Firewall B sitzt und der Schnittstelle LAN_PrivateClients angehöhrt dachte ich mir ich erstelle eine Regel:
Schnittstelle: LAN_ PrivateClients
Protokoll: TCP/UDP selbe Regel nochmals für ICMP
Quelle: 192.168.14.100
Gateway: WireGuard_S2S_SiteA

Das aleine ist aber nicht die lösung weil ich nach wie vor über die Firewall B inst Internet gehe.

Dann habe ich gelesen dass ich ein NAT - Ausgehend machen muss. Dabei soll Hybride eingeschaltet werden.
Folgende Regel habe ich erstellt:
Schnittstelle: WAN <- wieso WAN müsste das nicht WireGuard_S2S_SiteA sein, geht aber auch nicht)
Umleitung / Ziel: mit Schnittstellenadresse und WireGuard_S2S_SiteA Adresse versucht.
Leider beides ohne Erfolg.

könnt Ihr mir weiter helfen?

Gruss und Danke

11
German - Deutsch / Re: Reverse Proxy: Nginx Proxy Manager auch von Lan nutzen
« on: May 28, 2021, 08:48:05 am »
Guten Morgen Fabian

Danke dir. Ich musste die Firewall nochmals neustarten dann gings. Ja genau die DNS Überbrückung muss dann auf den Reverse Proxy zeigen und nicht auf den Cloud-Server.

Danke vielmals und schönen Tag

12
German - Deutsch / Reverse Proxy: Nginx Proxy Manager auch von Lan nutzen
« on: May 27, 2021, 03:04:07 pm »
Hallo zusammen

Ich habe eine Nextcloud (DMZ) Installation die ich von Extern (Internet) wie auch Intern (LAN) ansprechen kann. Bis anhin habe ich ein NAT auf Port 80/443 benutzt welches auf die Nextcloud zeigte um mittels LetsEncrypt die CAs zu aktualisieren. Ich habe zwar eine statische IP nutze aber zur Auflösung DuckDNS.

Nun habe ich einen zweiten Server der ebenfalls per Let's Encrypt https verschlüsselt werden soll. Da ja das Nat für 80/443 schon belegt ist habe ich mir gedacht ich setze ein Reverse Proxy davor. Den Proxy habe ich mit Nginx Proxy Manager aufgesetzt was von extern auch gut funktioniert.

Wie bekomme ich es nun aber hin dass aus dem LAN ebenfalls die https Verbindung via Reverse Proxy aufgebaut wird?

Gruss und Danke

13
German - Deutsch / Re: Anwendung von Sensei/IDS/IPS bei NAT
« on: May 04, 2021, 03:19:40 pm »
Hallo Zusammen

ich kann zu meinem Problem nun mehr sagen:
Ich habe die Firewall neu aufgesetzt und mal nur WAN und LAN implementiert.
Wie in der Dokumentation https://docs.opnsense.org/manual/ips.html beschrieben oder auch vin Deciso im Webinar (https://www.youtube.com/watch?v=_yIq3GM4gjA) beschrieben umgesetzt.

Zum testen:
IDS Enabled Hacken gesetzt
Pattern matcher Hyperscan
Schnittstelle LAN
Netze: 10.0.0.0/8 172.16.0.0/12 192.168.1.0/24 <- geändert
Anwenden

im tab Herunterladen OPNsense-App-detect/test
aktivieren und danach Herunterladen

im Tab Regeln
Kontrolle dass die Regel auf alert steht

danach ging ich auf eicar.org und kann alles herunterladen (klar da ids, nicht ips drop)
gehe ich nun in den Tab Alarmmekdungen müsste aber eicar.org aufgelistet sein. Leider sind die Alarmmeldungen leer.

Könnt Ihr mir sagen wo mein Fehler ist?

Gruss und Danke


14
German - Deutsch / Anwendung von Sensei/IDS/IPS bei NAT
« on: May 01, 2021, 04:48:05 pm »
Hallo Zusammen

Was habe ich:
Im Anhang habe ich mein Netzwerkdiagramm angehängt. Ich habe vom WAN-Port auf mein DMZ-Port ein 1:1Nat eingerichtet. Das Nat leitet von der externen IP HTTP/HTTPS Anfragen an die Nextcloud weiter. Um vom LAN/WLAN mittels fqdn auf die Nextcloud zuzugreiffen habe ich bei Unbound DNS eine Überbrückung eingerichtet die ein wand frei funktioniert.

Was möchte ich:
Da es ein NAT gibt kann auf der Nextcloud kein fail2ban eingesetzt werde da ja bei externem Zugriff die OPNsense IP angegeben wird (richtig?).
Wenn ich andere Forenbeträge richtig interpretiere müsste ich ein Reverse-Proxy einsetzen?
Unbound DNS ist auf allen Schnittstellen konfiguriert und diverse Blcolisten (schware Listen) aktiviert. Macht das überhaupt sinn dies auf allen Schnittstellen anzuwenden?

Nun würde ich gerne IDS/IPS aktivieren. Ich habe nun diverses gelesen zum Problem mit NAT. Beim einrichten von Einbruchschutz muss ja eine Schnittstelle angegeben werden. Wird da jetzt WAN oder DMZ angegeben? Unter Homenetzwerke werden welche Netze nun eingetragen?
Unter der Schnittstelle muss man noch "Before enabling, please disable all hardware offloading first" ausschalten. Das bedeutet das unter Schnittstellen - Einstellungen - VLAN Hardware Filterung Deaktiviert sein muss wenn ich richtig liege?

Wenn ich nun auch Sensei installieren möchte, müsste ich die LAN-Schnittstelle auswählen. Nun wenn ich dies auch noch auf den WLAN's aktivieren möchte welche aber nur VLAN sind, muss ich nun dies auf den VLAN-Schnittstellen oder auf der physikalischen Schnittstelle "Hardware Mng" einrichten?

Gruss und Danke

15
German - Deutsch / Re: OPNsense mit SIM-Karte online bringen
« on: April 18, 2021, 03:47:34 pm »
Hallo tiermutter

Danke für deine Hilfe. Ja !greset habe ich eingetragen. Wenn ich bei der WAN-Schnittstelle auf DHCP umstelle fliegt die cuaU1.2 Schnittestelle raus und löscht sich, heisst sie ist auch unter Schnittstellen - Punkt zu Punkt - Geräten nicht mehr ersichtlich. Ich vermute die EM7455 ist nicht voll unterstützt.

Werde warscheindlich versuchen die Schnittstelle durch eine MC7304 oder ändliche ersetzten.

Gruss und schönen Sonntag

Pages: [1] 2 3
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2