Messages

Hallo Monviech,

ich denke es reicht ;-)  Ich werde es testen.

Wir wäre es mit einem Knopf unter Advanced, mit dem man die resultierende Config einsehen kann.
Das könnte helfen bei den Kollegen die Verwirrung klein zu halten, wenn doch mal die Config manuell aufgebohrt wurde.

Hallo Zusammen,

wie bringe ich caddy bei dass er auf mehrere Webserver ein Loadbalancing machen soll.
In der GUI geht's soweit ich sehe nicht.

Aktuell setze ich HA Proxy ein, die Doku dazu ist aber aus der offiziellen opnSense Doku schon entfernt worden, so dass ich vermute, dass HA Proxy bald "Geschichte" sein wird.

VG

Hallo AlexS,

lass mal die Legacy Einstellungen weg, die fliegen irgendwann raus. Wenn Du es neu bauen musst, setz' es gleich auf Instances auf.
Die Skalierung bei OpenVPN kommt über mehrere Prozesse. Da schaust Du dir an, wie viele CPU's deine Firewall hat und legst entsprechen viele Server an. (Daumenwert 12 MHz CPU je MBit/s  vgl. https://openvpn.net/vpn-server-resources/openvpn-access-server-system-requirements/)

In deine Clientconfig muss dann sowas mit rein.

remote-random
remote vpn.fqdn1 1194 udp4
remote vpn.fqdn2 1195 udp4
...
remote vpn.fqdn99 1199 udp4


Idealer Weise bekommt jeder Benutzer ein eiegenes Zertifikat. Über "Client Specific Overrides" kannst Du dann jedem Zertifikat eine eigene IP zuweise, wenn es sein muss.

VG

Hallo Zusammen,

ich habe was seltsames.

Ich habe seit langer Zeit ein Captive Portal am laufen. Nach Anleitung: https://docs.opnsense.org/manual/captiveportal.html

Seit dem Update auf 24.1 bzw. 24.1.1-amd64 tut es nicht mehr.

Die Anmeldeseite zum NW wird angezeigt, Ein klick auf "Sign in" erzeugt in der FW eine Session aber der Client bleibt auf der Seite hängen.


Ich habe die Regel  (IPv4 *    WLAN net    *    ! n_internal)  ganz oben (s.Bild) hinzugefügt.
So tut es.

Hab' ich eine Änderung nicht mitbekommen ?
Hat jemand ein ähnliches Verhalten ?

Hallo Martin,

wenn sich deine Anforderungen nicht grossartig verändert haben reichen 4GB, auf der anderen Seite ist mehr RAM nie verkehrt. DDR4 oder DDR5 ist egal. Merken wirst Du es vermutlich nicht. Was aber vielleicht schon einen Unterschied macht kann ist die NW-Karte. PCEngines verbaut i210AT bzw. i211AT von Intel, MIS legt 2x Realtek RTL8111H bei.

Der "begrenzende" Faktor sind deine 1GBit/s Interfaces und das sollte die Kiste auf jeden Fall schaffen.

LG

data-ciphers CHACHA20-POLY1305

Schaltet auf Windows das DCO ab, welches nicht sauber funktioniert und bei mir massive Probleme bereitet.

Hier die "neue" Client-Konfiguration für "Instances [new]", nur 2.6.8++:


dev tun
persist-tun
persist-key

data-ciphers-fallback AES-256-GCM
data-ciphers CHACHA20-POLY1305

auth SHA1
client
resolv-retry infinite

remote-random
remote vpn.server10 1193 udp4
...
remote vpn.server18 1193 udp4

lport 0
verify-x509-name "[Ein gültiges Zertifikat]" subject
remote-cert-tls server
auth-user-pass
verb 3

[CA Zertifikat]
[User Zertifikat]
[User Key]
[TLS-Key]

---

Hallo Zusammen,

wie bereits angedroht hier meine Konfigurationen, die mit den Community-Clients von OpenVPN unter Windows 10 funktionieren. Das Problem ist bei uns der Upgreadepfad.
Auf alle Clients sind aktuell 2.5.x installiert. Der nächste Schritt ist die Clients auf 2.6.x zu betanken und dann auf die neue Konfiguration umzustellen. 2FA in Kombination mit neuem Client und privacyIDEA etc. funktioniert.

Die "alte" Client-Konfiguration für "Legacy Servers", funktioniert mit 2.5.? und 2.6.?:
Bilder der "Gegenstellen" sind Server_1-3.


dev tun
persist-key
cipher AES-128-GCM
persist-tun
auth SHA256
client
resolv-retry infinite
verify-x509-name "[Ein gültiges Zertifikat]" subject
remote-cert-tls server
comp-lzo no

remote-random
remote vpn.server1 1194 udp4
...
remote vpn.server8 1201 udp4

float 
tun-mtu 1500 
sndbuf 524288
rcvbuf 524288
key-direction 1
verb 3

[CA Zertifikat]
[User Zertifikat]
[User Key]

---

Hallo Zusammen,

Danke (Danke Danke ...)

Manchmal sehe ich die Bäume im Wald nicht mehr. Manchmal hilft es hier zu fragen und dann auf andere Ideen zu kommen. Ich renne und renne und finde den Ausgang nicht.

Wireguard: Werde ich weiter im Hinterkopf behalten. So als Notnagel super.

OpenVPN: Ich habe eine Konfig gefunden, die funktioniert. Werde ich bei Gelegenheit posten, vielleicht bekommen wir im Forum raus, wo's grundsätzlich hängt.

IPSec Roadwarrior: Habe ich getestet, das wird's dann vermutlich auch werden.

;-)

Hallo Zusammen,

Aktuell betreibe ich ca. 60 OpenVPN-Tunnel. Das hat bisher auch immer recht gut funktioniert. Ich habe 8 "Server" in OpenVPN konfiguriert und jede Instanz auf 12 Nutzer begrenzt. Das funktioniert recht gut.
Jede FW hat einen D-1518 @ 2.20GHz (4 cores, 8 threads).

Ich beisse mir nun seit einiger Zeit die Zähne an einer funktionierenden Konfiguration zwischen den OpenVPN Clients und der opnSense aus. Die aktuelle Konfiguration nutzt die Server (Legacy) mit OpenVPN 2.5.9 unter Win10. Ich habe Probeweise eine Instanz (new) konfiguriert, bekomme den Client aber nicht verbunden.
Installiere ich einen 2.6.8er Client funktioniert das so lala, ABER: Split DNS funtkioniert (mit Windows) so gar überhaupt nicht, bzw. DNS "spackt" oft nicht nachvollzehbar herum. (Office 365, Hybrid-Exchange und so ... )   
Soweit ich es sagen kann hängt es am OpenVPN-Client und dem neuen DCO-Treiber, der Prbleme mit dem DHCP-Options hat. Ich teste seit Version 2.6.2 an einer funktionieren Kobmbi, bisher aber ohne Erfolg.

Ich habe etwas Sorge, dass in absehbarer Zeit OpenVPN für uns nicht mehr nutzbar sein wird.

Daher habe ich angefangen mal mit Wireguard als Alternative herumzuspielen.
Bisher bin ich sehr positiv überrascht. Auch der Betrieb für meine "nicht-Admins" ist handlebar.

Habt Ihr eine Anleitungen oder Erfahrungen, wie man ein Wireguard-Setup auf einer opnSense macht, wenn mit 60 - 120 Clients bedienen möchte. Also, sollten die Tunnel auf mehere Instanzen aufgeteilt werden, wo sind Fallstricke etc. ?

Ich bin für jegliche Anregung dankbar.

Ja, das ist so.

Hallo Kosta,

vielleicht den VPN-Endpunkt an einen virtuellen Interface binden. Dann fällt die Abhängigkeit zum phys. Interface weg.

Wäre meine erste Idee ...

Hier geht's weiter ...

https://github.com/opnsense/core/issues/6710

Hallöle zusammen,

im Grossen und Ganzen läuft alles. Gute Arbeit mal wieder  ;D

Mit OpenVPN hätte ich da noch "Special Effects".

Crl-verify:
Sobald ich in den Settings eine RevocationList auswähle startet die Instanz nicht mehr.

2023-08-03T21:01:24   Notice   openvpn_server10   Options error: --crl-verify fails with '/var/etc/openvpn/server-8-blubber-instance-id-0.crl-verify': No such file or directory (errno=2)

In der erzeuten conf wird auf obige Datei referenziert, auf dem Filesystem ist die Datei unter /var/etc/openvpn/ nicht vorhanden.


Certificate Depth
Springt immer wieder auf "Do Not Check" zurück.


Static Keys
Lassen sich zwar anlegen und benutzen aber nicht mehr löschen.

/usr/local/opnsense/mvc/app/controllers/OPNsense/OpenVPN/Api/InstancesController.php:99: Call to undefined method OPNsense\OpenVPN\Api\InstancesController::delStaticKeyBase()



... und halt meine sonderbare Inkompatibilität, dass der Windows-Client in Version 2.6.5 zwar die Verbindung aufbaut aber keine Daten durchlässt. Version 2.5.9 funzt ...


VG

Hallo Spooner,

das kann man so pauschal nicht sagen. Was soll denn von wo nach wo zugreiffen dürfen.

LG