Messages

In der Zwischenzeit habe ich noch ein paar iPerf Tests durchgeführt und die waren miserabel von und zu Microsoft Azure.

Durch die Anpassung der MTU von 1500 auf 1350 konnte ich den iPerf Speed um Faktor 10x erhöhen. Nun werden die Web Apps im Browser auch schneller geladen.

Meine Frage: Kennt sich jemand mit Microsoft Azure und Netzwerk/OPNsense aus?
Gibt es einen bevorzugten MTU Wert oder ist 1350 bereits schon gut?
Reicht es wenn ich die MTU auf den Netzwerk Interfaces der Sense anpasse oder muss ich dies bei jeder VM geschehen?

Grüsse Flavio

Guten Morgen

Nach einem Reboot der Sense bei Microsoft Azure scheint ein kleiner Teil wieder zu funktionieren.
Aktuell sehe ich im Browser, wenn die Webapplikation geöffnet werden möchte, dass der Traffic sehr langsam von A nach B übermittelt wird.

Gibt es von eurer Seite Tipps, wie ich den IPsec Traffic besser analysieren kann respektive beschleunigen?

Grüsse Flavio

Hallo Liebe Sense Community

Ich habe ein mysteriöses Problem mit meinem zwei Sense.
Folgendes Problem existiert:
Wenn ich Traffic von LAN A zu LAN B via IPsec IKEv2 verschicke, wird gewisser Traffic durch eine der beiden Firewalls manipuliert.

Einfach gesagt PING funktioniert, HTTP/HTTPS teilweise. Ein normaler Webseiten Aufruf funktioniert, sobald es ein bisschen komplizierter wird und mehrere Ressourcen geladen werden müssen, geht gar nichts mehr.

Uns ist es vorallem aufgefallen, beim cURL oder beim Icinga2 Monitoring welches immer mal wieder Flappings erzeugt.

Kennt jemand von euch das oder ein ähnliches Problem?

Noch kurz ein paar Infos der zwei Sense.

Firmware: Beide OPNsense 19.7.8-amd64
IPsec Tunnel: Beide je 2 Tunnels

Ich danke euch für eure Hilfe :)

Grüsse Flavio

Aktuell tendiere ich eher mit einem Plugin inkl. Scheduler auf der Sense welche den Job zum Beispiel jede Nacht ausführt.
Kürzlich hatte ich ein externen Script welches das XML herunterlädt und die Diffs jeweils ins Git commited. Ist grundsätzlich i.O, bräuchte einfach wieder einen manuellen Anstoss des Scripts oder eine weitere Instanz welche das Script startet.

Guten Morgen Liebe Sense Community

Hoffe Ihr hattet schöne Festtage.
Ich möchte mich kurz bei euch erkundigen, ob mein allfälliges Vorhaben überhaupt Sinn machen würde respektive ob es von der Community auch benutzt würde.

Seit langem schwebt mir eine Automatisierung mit dem Backup API vor. Da ich weder Nextcloud noch Google Drive für die Backups der Sense mag, dachte ich an das Backup API im Zusammenspiel mit FTP/S3 Storage.

Besteht da aus eurer Sicht bedarf nach einer weiteren Backup Alternative?
Falls ja, würde ich im neuen Jahr mal beginnen etwas aufzubauen, evtl. findet der eine oder andere auch Interesse daran und hilft mir bei meinem Vorhaben.

Grüsse Flavio

Hallo Zusammen

Durch Erstellung neuer Netzwerke sowie Routing Tables in Microsoft Azure konnte ich das Problem lösen.
Was schlussendlich dazu geführt hat das Problem mit der UDR Rule 0.0.0.0/0 ist mir unbekannt.

[Ausgangslage:]

Hallo Liebe Community

Ich habe ein Problem mit dem OPNsense Azure Deployment. Ich versuche seit Tagen Outgoing Traffic in Microsoft Azure durch die OPNsense Firewall zu schleusen. Leider ohne erfolg, daher frage ich um Bitte im Forum.

Ausgangslage:
Das Deployment von OPNsense via Bootstrap habe ich mit folgendem Azure Template durchgeführt.
https://github.com/dmauser/opnazure

Im Readme von Daniel Mauser wird explizit darauf hingewiesen, dass eine statische UDR Rule 0.0.0.0/0 auf das Subnetz hinzugefügt werden muss. Dies habe ich auch gemacht, nur leider verliere ich dann die Connection zur OPNsense sowie zur VM welche sich im Trusted Subnet (Private + Public IP) befindet.

Muss auf der OPNsense noch etwas eingerichtet werden, damit Sie den Traffic von Azure entgegennehmen kann oder habe ich da noch einen kleinen Denkfehler gemacht?

Ich danke euch für Tipps :)

Grüsse Flavio

Danke für dein Feedback.
Schade das aus Stabilitätsgründen das einschränken der IP's auf welche Nginx hören soll nicht implementiert ist.
Ist geplant, dass dies in naher Zukunft in den Code mit aufgenommen wird?

Finde aktuell generell das Nginx Plugin sehr unstabil und grösstenteils lässt es sich gar nicht starten ohne Reboot.
Da fehlen mir irgendwelche Error Meldungen...

Finde das HAProxy aktuell um Welten besser, wenn eine WAF Funktion noch integriert wäre, dann 1A ;D

Hallo @fabian

Ich habe nun mehrere Stunden versucht, dass Setup bei mir lokal vernünftig laufen zu lassen ohne jeglichen Erfolg.

Nun stellt sich mir schon die Frage, benötige ich wirklich noch HAProxy oder könnte ich sogar alles via Nginx und dem WAF Module abdecken.

Folgende Anforderungen habe ich:
- SSL Zertifikat via Let's Encrypt Modul
- URL Weiterleitung zum Beispiel x.x.com/a soll intern weitergeleitet werden auf /b.html ohne das die URL im Browser sich verändert
- Multi WAN IP ansprechen (Virtual IP's)

Aktuell ist es so, dass das HAProxy Setup super funktioniert ausser die WAF Funktion fehlt.
Welchen Weg empfehlst du einzuschlagen oder welche Erfahrungen hast du schon gesammelt in diesem Bereich?

Ist es überhaupt möglich, verschiedene IP's im Nginx Modul zu hinterlegen (als Listen Adresse)?

Ich danke dir im Voraus für deine Rückmeldung.

Grüsse Flavio

Vielen Dank für den raschen Input. Schaue mir das heute Nachmittag gleich an :)

Verstehe ich es richtig, dass du mit Nginx Plus WAF das OPNsense Nginx WAF Modul meinst?

Grüsse Flavio

Hallo Liebe Community

Aktuell bin ich auf der Suche nach einer WAF Möglichkeit auf der OPNsense Firewall im Bezug auf das HAProxy Modul.

Besteht die Möglichkeit das Nginx WAF Modul welches als OPNsense Add-on gibt zusammen mit HAProxy zu betreiben.

Evtl. gibt es noch andere Möglichkeiten die ich aktuell nicht kenne.

Würde mich sehr freuen über eure Erfahrung.

Danke und Gruss,
Flavio

Was ist mit "beide Instanzen" gemeint?
[/quote]

Wir haben eine OPNsense sowie eine Barracuda FW. Beide Instanzen haben den VPN Tunnel versucht zu initiieren, welches nach einer gewissen Zeit einen Konflikt verursacht hat. Nun initiiert nur noch die Barracuda FW den IPSec IKEv2 Tunnel und die OPNsense wurde als "Respond" konfiguriert.

Das Problem konnte mittlerweile gelöst werden.

Beide Firewall Instanzen liefen aktiv. Die OPNsense haben wir nun auf "Respond" gewechselt, seither alles i.O.

Hallo Liebe Community

Ich benötige eure Hilfe.
Aktuell habe ich das Problem, dass nach einer unbestimmten Zeit (2h, 24h etc...) sehr Willkürlich sich Routen zur Gegenstelle verabschieden...

Nach einem neuen initiieren der VPN Verbindung sind die Routen respektive Netze der Gegenstelle wieder sichtbar.
Kennt jemand von euch das Problem?

Wichtig zu sagen: Die Gegenstelle ist eine Barracuda Firewall und das Einrichten der VPN Verbindung bis es endlich geklappt hat, ging Stunden...

Daher überrascht es mich nicht wirklich, dass noch nicht alles Rund läuft.

Falls Ihr meine Config benötigt, einfach kurz danach fragen.

Wisst Ihr wo das Log des IPSec VPN sich befindet, dann könnte ich allenfalls dies noch analysieren und euch zur Verfügung stellen.

Ich danke jedem für einen Tipp.

Grüsse Flavio

Hello OPNsense Community

I have a question regarding HAProxy.

This is what I want to do with HAProxy:

Forwarding https://xyz.com/a -> https://xyz.com/a/b.html

I was already able to set up forwarding successfully.
But now it would be nice if the URL in the browser doesn't change and in the example from above is https://xyz.com/a.

Do you know a way to set this up with HAProxy?

Thanks for helping :)

Cheers,
Flavio