Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - hsiewert

#1
German - Deutsch / ntopng startet nicht
June 25, 2025, 09:33:22 AM
Hallo zusammen,

ich habe ntopng installiert und bekomme es aus der GUI nicht gestartet.

Log:
2025-06-25T09:24:43   Error   ntopng   25/Jun/2025 09:24:43 [HTTPserver.cpp:1961] ERROR: Either port in use or another ntopng instance is running (using the same port)   
2025-06-25T09:24:43   Error   ntopng   25/Jun/2025 09:24:43 [HTTPserver.cpp:1958] ERROR: Unable to start HTTP server (IPv4) on ports 3000,3001s   
2025-06-25T09:24:43   Error   ntopng   25/Jun/2025 09:24:43 [HTTPserver.cpp:1647] ERROR: [HTTP] set_ssl_option: cannot open /usr/local/share/ntopng/httpdocs/ssl/ntopng-cert.pem: error:0A00018E:SSL routines::ca md too weak   
2025-06-25T09:24:42   Warning   ntopng   25/Jun/2025 09:24:42 [Ntop.cpp:4180] WARNING: Unable to find timezone: using UTC


Wenn ich auf der Shell direkt /usr/local/bin/ntopng ausführe startet es wie es soll auf den Port 3000 bzw. 3001.

Hat jemand eine Idee ?
#2
Hallo Zusammen,

ich habe genau das auf Reddit beschriebene Szenario.
Meine Gegenstelle ist eine Cisco ASA 5506-X, ich nutze opnSense 25.1.8_1

Die "Children" sind auf das hier gesetzt:
192.168.125.0/24     172.20.16.168/32
192.168.125.0/24     172.20.16.169/32
192.168.125.0/24     172.20.16.107/32
192.168.125.0/24     172.20.16.108/32

Sobald jemand aus 192.168.125.0/24 auf einen Server, z.B. 172.20.16.168 zugreift tut es. Wenn nun ein weiterer Zugriff auf einen anderen Server erfolgt, z.B. 172.20.16.169 sind keine Zugriffe mehr möglich.

Die Logs sind unauffällig. IPSec Status etc. zeigen an, dass der Tunnel oben ist und in Phase 2 mehrere Verbindungen gelistet werden.

Auf der/meiner Firewall kann ich per tcpdump sehen, dass pings aus dem 192.168.125.x mit "bad cksum" angezeigt werden.

Wie gehe ich weiter vor ?

#3
Hallo Monviech,

ich denke es reicht ;-)  Ich werde es testen.

Wir wäre es mit einem Knopf unter Advanced, mit dem man die resultierende Config einsehen kann.
Das könnte helfen bei den Kollegen die Verwirrung klein zu halten, wenn doch mal die Config manuell aufgebohrt wurde.



#4
Hallo Zusammen,

wie bringe ich caddy bei dass er auf mehrere Webserver ein Loadbalancing machen soll.
In der GUI geht's soweit ich sehe nicht.

Aktuell setze ich HA Proxy ein, die Doku dazu ist aber aus der offiziellen opnSense Doku schon entfernt worden, so dass ich vermute, dass HA Proxy bald "Geschichte" sein wird.

VG
#5
Hallo AlexS,

lass mal die Legacy Einstellungen weg, die fliegen irgendwann raus. Wenn Du es neu bauen musst, setz' es gleich auf Instances auf.
Die Skalierung bei OpenVPN kommt über mehrere Prozesse. Da schaust Du dir an, wie viele CPU's deine Firewall hat und legst entsprechen viele Server an. (Daumenwert 12 MHz CPU je MBit/s  vgl. https://openvpn.net/vpn-server-resources/openvpn-access-server-system-requirements/)

In deine Clientconfig muss dann sowas mit rein.

remote-random
remote vpn.fqdn1 1194 udp4
remote vpn.fqdn2 1195 udp4
...
remote vpn.fqdn99 1199 udp4


Idealer Weise bekommt jeder Benutzer ein eiegenes Zertifikat. Über "Client Specific Overrides" kannst Du dann jedem Zertifikat eine eigene IP zuweise, wenn es sein muss.

VG


#6
German - Deutsch / Captive Portal nach Update auf 24.x
February 08, 2024, 09:53:24 AM
Hallo Zusammen,

ich habe was seltsames.

Ich habe seit langer Zeit ein Captive Portal am laufen. Nach Anleitung: https://docs.opnsense.org/manual/captiveportal.html

Seit dem Update auf 24.1 bzw. 24.1.1-amd64 tut es nicht mehr.

Die Anmeldeseite zum NW wird angezeigt, Ein klick auf "Sign in" erzeugt in der FW eine Session aber der Client bleibt auf der Seite hängen.


Ich habe die Regel  (IPv4 *    WLAN net    *    ! n_internal)  ganz oben (s.Bild) hinzugefügt.
So tut es.

Hab' ich eine Änderung nicht mitbekommen ?
Hat jemand ein ähnliches Verhalten ?









#7
Hallo Martin,

wenn sich deine Anforderungen nicht grossartig verändert haben reichen 4GB, auf der anderen Seite ist mehr RAM nie verkehrt. DDR4 oder DDR5 ist egal. Merken wirst Du es vermutlich nicht. Was aber vielleicht schon einen Unterschied macht kann ist die NW-Karte. PCEngines verbaut i210AT bzw. i211AT von Intel, MIS legt 2x Realtek RTL8111H bei.

Der "begrenzende" Faktor sind deine 1GBit/s Interfaces und das sollte die Kiste auf jeden Fall schaffen.

LG
#8
data-ciphers CHACHA20-POLY1305

Schaltet auf Windows das DCO ab, welches nicht sauber funktioniert und bei mir massive Probleme bereitet.
#9

Hier die "neue" Client-Konfiguration für "Instances [new]", nur 2.6.8++:


dev tun
persist-tun
persist-key

data-ciphers-fallback AES-256-GCM
data-ciphers CHACHA20-POLY1305

auth SHA1
client
resolv-retry infinite

remote-random
remote vpn.server10 1193 udp4
...
remote vpn.server18 1193 udp4

lport 0
verify-x509-name "[Ein gültiges Zertifikat]" subject
remote-cert-tls server
auth-user-pass
verb 3

[CA Zertifikat]
[User Zertifikat]
[User Key]
[TLS-Key]

---



#10
Hallo Zusammen,

wie bereits angedroht hier meine Konfigurationen, die mit den Community-Clients von OpenVPN unter Windows 10 funktionieren. Das Problem ist bei uns der Upgreadepfad.
Auf alle Clients sind aktuell 2.5.x installiert. Der nächste Schritt ist die Clients auf 2.6.x zu betanken und dann auf die neue Konfiguration umzustellen. 2FA in Kombination mit neuem Client und privacyIDEA etc. funktioniert.

Die "alte" Client-Konfiguration für "Legacy Servers", funktioniert mit 2.5.? und 2.6.?:
Bilder der "Gegenstellen" sind Server_1-3.


dev tun
persist-key
cipher AES-128-GCM
persist-tun
auth SHA256
client
resolv-retry infinite
verify-x509-name "[Ein gültiges Zertifikat]" subject
remote-cert-tls server
comp-lzo no

remote-random
remote vpn.server1 1194 udp4
...
remote vpn.server8 1201 udp4

float 
tun-mtu 1500 
sndbuf 524288
rcvbuf 524288
key-direction 1
verb 3

[CA Zertifikat]
[User Zertifikat]
[User Key]

---

#11
German - Deutsch / Re: Wireguard Skalierung
December 07, 2023, 01:13:10 PM
Hallo Zusammen,

Danke (Danke Danke ...)

Manchmal sehe ich die Bäume im Wald nicht mehr. Manchmal hilft es hier zu fragen und dann auf andere Ideen zu kommen. Ich renne und renne und finde den Ausgang nicht.

Wireguard: Werde ich weiter im Hinterkopf behalten. So als Notnagel super.

OpenVPN: Ich habe eine Konfig gefunden, die funktioniert. Werde ich bei Gelegenheit posten, vielleicht bekommen wir im Forum raus, wo's grundsätzlich hängt.

IPSec Roadwarrior: Habe ich getestet, das wird's dann vermutlich auch werden.

;-)

#12
German - Deutsch / Wireguard Skalierung
December 04, 2023, 08:31:22 PM
Hallo Zusammen,

Aktuell betreibe ich ca. 60 OpenVPN-Tunnel. Das hat bisher auch immer recht gut funktioniert. Ich habe 8 "Server" in OpenVPN konfiguriert und jede Instanz auf 12 Nutzer begrenzt. Das funktioniert recht gut.
Jede FW hat einen D-1518 @ 2.20GHz (4 cores, 8 threads).

Ich beisse mir nun seit einiger Zeit die Zähne an einer funktionierenden Konfiguration zwischen den OpenVPN Clients und der opnSense aus. Die aktuelle Konfiguration nutzt die Server (Legacy) mit OpenVPN 2.5.9 unter Win10. Ich habe Probeweise eine Instanz (new) konfiguriert, bekomme den Client aber nicht verbunden.
Installiere ich einen 2.6.8er Client funktioniert das so lala, ABER: Split DNS funtkioniert (mit Windows) so gar überhaupt nicht, bzw. DNS "spackt" oft nicht nachvollzehbar herum. (Office 365, Hybrid-Exchange und so ... )   
Soweit ich es sagen kann hängt es am OpenVPN-Client und dem neuen DCO-Treiber, der Prbleme mit dem DHCP-Options hat. Ich teste seit Version 2.6.2 an einer funktionieren Kobmbi, bisher aber ohne Erfolg.

Ich habe etwas Sorge, dass in absehbarer Zeit OpenVPN für uns nicht mehr nutzbar sein wird.

Daher habe ich angefangen mal mit Wireguard als Alternative herumzuspielen.
Bisher bin ich sehr positiv überrascht. Auch der Betrieb für meine "nicht-Admins" ist handlebar.

Habt Ihr eine Anleitungen oder Erfahrungen, wie man ein Wireguard-Setup auf einer opnSense macht, wenn mit 60 - 120 Clients bedienen möchte. Also, sollten die Tunnel auf mehere Instanzen aufgeteilt werden, wo sind Fallstricke etc. ?

Ich bin für jegliche Anregung dankbar.





#13
German - Deutsch / Re: GUI Zugriff über OpenVPN
August 08, 2023, 10:08:43 AM
Ja, das ist so.
#14
German - Deutsch / Re: GUI Zugriff über OpenVPN
August 07, 2023, 12:41:48 PM
Hallo Kosta,

vielleicht den VPN-Endpunkt an einen virtuellen Interface binden. Dann fällt die Abhängigkeit zum phys. Interface weg.

Wäre meine erste Idee ...
#15
German - Deutsch / Upgrade auf 23.7 - Openvpn
August 05, 2023, 09:34:53 PM