Messages

OPNsense 26.1.1-amd64
FreeBSD 14.3-RELEASE-p8
OpenSSL 3.0.19

Hallo zusammen, in der aktuellen Version (egal wo) ist der Schlüsseltyp RSA 3072 im Dropdown-Menü 2x aufgeführt, ich glaube der 2048 fehlt oder ist falsch beschrieben. Hab nur ich das? .... Es scheint in der "Deutsch" Übersetzung falsch zu sein, auf Englisch stimmt es... einmal EDIT bitte ^^

Patrick, danke für die Info. :)

Hallo zusammen,

This component is reaching the end of the line, official maintenance will end as of version 26.1

diese Meldung erscheint unter:

    VPN: OpenVPN: Servers [legacy]
    VPN: OpenVPN: Clients [legacy]

openvpn 2.6.13
opnsense 25.1.2

Wird dann nur die aktuelle Version von OpenVPN 2.6.13 nicht mehr unterstützt oder wird es generell kein OpenVPN in OPNsense mehr geben?
Leider habe ich noch keine weiteren Infos dazu gefunden und frage daher mal hier nach.

Grüße

Alles klar. Dann nochmal vielen Dank an euch. 8)

Vielen Dank Franco, für den schnellen und erstklassigen Support!

Ich habe heute ein Backup 24.1 auf Update (Hotfix) 24.7_5 hochgezogen, OpenVPN Server starten wieder. In den Logs habe ich allerdings keine Warungen wie Marcel_75, scheint alles i.O. zu sein.

Die DCO-Funktion ist aber nicht im GUI zu finden, also wurde nur im Code geändert?

Erst mal viele Dank für den Backround. Sehe das wieMarcel_75, undokumentiert ist das schon recht übel und auch die Logs (Debugging) sind leider keine Hilfe dazu. Also auf den Hotfix warten... :)

Nach dem Update auf 24.7 starten alle OpenVPN Server nicht mehr...

2024-07-25T17:09:45   Notice   openvpn_server1   Exiting due to fatal error   
2024-07-25T17:09:45   Error   openvpn_server1   FreeBSD ifconfig failed: external program exited with error status: 1

... weiter bin ich noch nicht. Hat jemand das selbe Problem und/oder evtl. eine Lösung?

EDIT:
2024-07-25T17:09:45   Warning   openvpn_server1   DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

Was das ALIAS beherbergt sehe ich nicht, soweit ich das erblicken kann :o passt das so.

Am besten immer "gewollte/nicht gewollte" Zugriffe auslösen und im Firewall-Protokoll nachlesen, was damit passiert ist und wie es behandelt wurde, ist die beste Kontrolle.

Eine Cloud wäre in der Tat besser, aber ich empfehle dir wenigstes SFTP/FTPS zu verwenden.
Wie dem auch sei...

Ich nehme an das dein FTP-Server generell erreichbar ist. Wenn nur DE-Adressen auf dein NAS über (S)FTP zugreifen sollen, dann wende die Regel so an wie ich bereits gepostet hab. Nochmal anbei.

Du erlaubst unter NAT nur den Quellen von GeoIP (ADRESSEN > DE) und (ALLE PORTS, ein freier Port wird ausgehandelt) einen Zugriff auf das Ziel (WAN) von außen, damit von außen auf die OPNsense per WAN-Zugriff gewährt wird. Die Ziel-IP (als ALIAS IP) und Ports (als ALIAS Port) müssen deine vom FTP(S/TLS) beherbergen, je nachdem was Du am Server eingestellt/freigegeben hast, z.B. 20-22, damit NAT funktioniert und die OPNsense weiß was und wohin damit. Minimiere die Ports auf die Notwendigkeit. Die "Firewall: Regeln: WAN" wird (sollte) dann automatisch erstellt (werden). Als Protokoll sollte nur TCP verwendet/eingestellt werden. Fertig.

Testen musst Du das dann mit einer externen VPN-Serververbindung aus einem anderen Land oder Du testest es mit der GeoIP-Einstellung kurzzeitig nur z.B. USA oder einem anderen Land außer DE. Quasi sich selbst zum Testen aussperren.

Beachte:
1. Umstellungen an GeoIP und Regeln können eine Zeit dauern bis diese angewendet werden, ggf. die OPNsense neu starten.
2. Wenn Du auf DE stellst kann jemand aus einem anderen Land über einen VPN-Server in DE immer noch zugreifen, eh klar. Es reduziert aber die "Angriffe/Zugriffe" schon enorm.

Dazu muss ich wissen was Du machen willst.

Eine "Fließende Regel" ist nicht zu empfehlen, denn warum soll es über alle Schnittstellen gelten? GeoIP wendet man eigentlich nur auf den WAN-Port (alles was von außen kommt) an, den die Listen sind externe Adressen die auf dein WAN eine Auswirkung haben sollen.

In deiner Regel blockierst du jede Quelle auf dein GeoIP... macht keinen Sinn. Löschen!

Was möchtest Du machen?

Dein Link scheint für OPNsense nicht konform zu sein, dein Key kommt mir auch ein bissel lang vor was aber nix heißen muss, den Du aber hier nicht posten solltest.  ;)

Beantrage einen neuen Key, überprüfe diesen auf Korrektheit und ersetz die X im Link unten durch diesen.
Siehe auch: Anleitung

Code Select Expand

https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=XXXXXXXXXXXXXXXXX&suffix=zip


Lösche das Alias und erstelle ein neues! U.A. beim Wiederherstellen der OPNsense kann es passieren, das die Aktualisierung nicht mehr funktioniert. Einfach neu anlegen.

Ohne eine Regel anzuwenden wird GeoIP nicht funktionieren, damit werden nur die Daten geladen. Anwenden musst Du das in der Firewall, z.B. unter NAT für einen Nextcloud-Server der nur aus gewissen Ländern erreichbar sein soll. Siehe Bild.

Mach das mal und melde dich dann...

Moin,
zeig mal deine Firewall: "NAT: Portweiterleitung" Regel und die "Firewall: Aliase > GeoIP Einstellungen" die URL die Du eingetragen hast. Den Key mit XXXXXXX hier ins FORUM versteht sich  ;)

Auch gibt man in GeoIP an was weniger ist um die Liste kurz und effizient zu halten. Also wenn Du z.B. nur 3 Länder erlauben willst, dann wählt man diese an und blockiert alle bis auf die. Wenn Du z.B. nur 3 Länder sperren willst, dann wählt man diese an und erlaubt alle bis auf die. Das regelt man unter NAT zur Quelle.

Die GeoIP Einstellungen alleine ist keine "Blockliste" in dem Sinn, es scheint mir da unnötig viel ausgewählt zu sein. Auch wird damit noch keine Regel angewendet. Was genau willst Du damit machen?

Hallo,
ich möchte auf meine Server bzw. deren GUI gerne über deren Hostnamen zugreifen können. Also z.B. wenn ich im Browser opnsense eingebe, dann soll die Webgui aufgehen. Das geht aber nicht, es öffnet sich immer eine Google-Suche. Über die IP geht es ganz normal.

Ich hab folgendes Setup:

Opnsense macht DHCP und. verteilt als DNS meinen Pihole. Im Pihole ist conditional forwarding aktiviert und die 3 Felder darunter entsprechend ausgefüllt.

Woran könnte es noch liegen?

Ich gehe mal von der Grundeinstellung OPNsense mit Unbound DNS und DHCPv4 [LAN] + Pihole + Fritzbox aus.
Ich empfehle dir "Unbound DNS" und "Dnsmasq-DNS" NICHT gleichzeitig zu verwenden!

OPNsense > Einstellungen > System > Verwaltung  "Deaktiviere DNS-Rebinding-Prüfungen" CHECKBOX aktivieren.
OPNsense > Dienste > DHCPv4 [LAN] > DNS-Server = IP vom PiHole angeben.
OPNsense > Dienste > Unbound DNS > Allgemein > "Register DHCP Leases" und "Register DHCP Static Mappings"  CHECKBOX aktivieren.

PiHole > Settings > DNS > Upstream DNS Servers > IP OPNsense z.B. 192.168.1.1#53
PiHole > Settings > DNS > Advanced DNS settings > "Never forward non-FQDN A and AAAA queries" und "Never forward reverse lookups for private IP ranges" CHECKBOX aktivieren.
Die Erklärungen dazu sind in den Dokus bereits beschrieben und sollten aktiviert bleiben.

DNSSEC in PiHole > CHECKBOX DNSSEC aktiviert gibt nur antworten zu DNSSEC-Anwendung aus, sonst nichts. SECURE oder INSECURE im Log.
Um DNSSEC zu nutzen, musst Du in der OPNsense unter "Dienste: Unbound DNS: Allgemein" <Aktiviere DNSSEC Unterstützung> die CHECKBOX aktivieren. Dann muss noch in der OPNsense oder Fritzbox ein öffentlicher DNS-Server angegeben werden  der DNSSEC unterstützt. Ich habe das gleich in der übergeordneten Fritzbox über Quad9 mit zusätzlichen "DNS over TLS (DoT)" eingetragen. Das ist am "sichersten"!
TEST: https://wander.science/projects/dns/dnssec-resolver-test/

PiHole > Settings > DNS > Advanced DNS settings > "Use Conditional Forwarding" CHECKBOX aktivieren.
CDIR: 192.168.1.0/24
DHCP server: 192.168.1.1
Local domain name: local.net
Die IP(Range) und Domain variieren auf das was Du in deiner OPNsense angegeben hast. Den DHCP Server sollte in dem Fall OPNsense und nicht PiHole machen!

Überprüfe in PiHole ob deine IPs in Namen aufgelöst werden "Top Clients (total)" oder "Query Log" in der Spalte "Status"... da sollten spätestens jetzt Hostnamen und keine IPs angezeigt werden.

Deine Geräte (Beispiel "OPNsense" = https://opnsense) sollten nun lokal mit Namen erreichbar sein. Die Domain muss nur angeben werden, wenn sich die Geräte gegenüber nicht in der selbigen befinden. Andere Domains müssen erst bekannt gemacht werden.

Hallo Forum,

ich muss für ein Projekt mehrere VPN-Gatways aufbauen. Ziel ist es wirklich "nur" ein WireGuard VPN laufen zu lassen.

Die Geräte müssen 24/7 laufen und sollen so wenig wie möglich kosten. Also wieder "ganz" besondere Anforderungen :D

Habt ihr hier Empfehlungen?

Gruß
SM

Warum überhaupt OPNsense?

Wenn Du eine Fritzbox hast, ist die Funktion schon enthalten. Wenn nicht, kauf dir eine für dich ausreichende "günstige". Fertig. ;)

Hallo PTS,
wenn Du den externen DNS-Server 1.1.1.1 unter "Dienste: DHCPv4: [P0_LAN]" einträgst, wird nicht mehr der Unbount-DNS verwendet. Die Clients verwenden dann direkt als erstes den 1.1.1.1 usw.
Ich würde dir empfehlen, entweder schreibst Du den externen in Unbount rein oder gleich, wenn Du das hast, z.B. in die Fritz-Box. Dann unter "Dienste: DHCPv4: [P0_LAN]" einfach nichts eintragen: Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.

Als Beispiel ist Quad9 in der Fritz zu sehen...