1
German - Deutsch / Re: OPNsense Update 24.7 - OpenVPN Server starten nicht mehr...
« on: July 26, 2024, 01:07:30 pm »
Alles klar. Dann nochmal vielen Dank an euch. 
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
German - Deutsch / Re: OPNsense Update 24.7 - OpenVPN Server starten nicht mehr...
« on: July 26, 2024, 12:01:27 pm »
Vielen Dank Franco, für den schnellen und erstklassigen Support!
Ich habe heute ein Backup 24.1 auf Update (Hotfix) 24.7_5 hochgezogen, OpenVPN Server starten wieder. In den Logs habe ich allerdings keine Warungen wie Marcel_75, scheint alles i.O. zu sein.
Die DCO-Funktion ist aber nicht im GUI zu finden, also wurde nur im Code geändert?
Ich habe heute ein Backup 24.1 auf Update (Hotfix) 24.7_5 hochgezogen, OpenVPN Server starten wieder. In den Logs habe ich allerdings keine Warungen wie Marcel_75, scheint alles i.O. zu sein.
Die DCO-Funktion ist aber nicht im GUI zu finden, also wurde nur im Code geändert?
3
German - Deutsch / Re: OPNsense Update 24.7 - OpenVPN Server starten nicht mehr...
« on: July 25, 2024, 11:32:17 pm »
Erst mal viele Dank für den Backround. Sehe das wieMarcel_75, undokumentiert ist das schon recht übel und auch die Logs (Debugging) sind leider keine Hilfe dazu. Also auf den Hotfix warten... 
4
German - Deutsch / OPNsense Update 24.7 - OpenVPN Server starten nicht mehr...
« on: July 25, 2024, 05:17:29 pm »
Nach dem Update auf 24.7 starten alle OpenVPN Server nicht mehr...
2024-07-25T17:09:45 Notice openvpn_server1 Exiting due to fatal error
2024-07-25T17:09:45 Error openvpn_server1 FreeBSD ifconfig failed: external program exited with error status: 1
... weiter bin ich noch nicht. Hat jemand das selbe Problem und/oder evtl. eine Lösung?
EDIT:
2024-07-25T17:09:45 Warning openvpn_server1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
2024-07-25T17:09:45 Notice openvpn_server1 Exiting due to fatal error
2024-07-25T17:09:45 Error openvpn_server1 FreeBSD ifconfig failed: external program exited with error status: 1
... weiter bin ich noch nicht. Hat jemand das selbe Problem und/oder evtl. eine Lösung?
EDIT:
2024-07-25T17:09:45 Warning openvpn_server1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
5
German - Deutsch / Re: GeoIP Problem
« on: January 12, 2024, 01:43:19 pm »
Was das ALIAS beherbergt sehe ich nicht, soweit ich das erblicken kann 
passt das so.
Am besten immer "gewollte/nicht gewollte" Zugriffe auslösen und im Firewall-Protokoll nachlesen, was damit passiert ist und wie es behandelt wurde, ist die beste Kontrolle.
passt das so.Am besten immer "gewollte/nicht gewollte" Zugriffe auslösen und im Firewall-Protokoll nachlesen, was damit passiert ist und wie es behandelt wurde, ist die beste Kontrolle.
6
German - Deutsch / Re: GeoIP Problem
« on: January 12, 2024, 11:51:14 am »
Eine Cloud wäre in der Tat besser, aber ich empfehle dir wenigstes SFTP/FTPS zu verwenden.
Wie dem auch sei...
Ich nehme an das dein FTP-Server generell erreichbar ist. Wenn nur DE-Adressen auf dein NAS über (S)FTP zugreifen sollen, dann wende die Regel so an wie ich bereits gepostet hab. Nochmal anbei.
Du erlaubst unter NAT nur den Quellen von GeoIP (ADRESSEN > DE) und (ALLE PORTS, ein freier Port wird ausgehandelt) einen Zugriff auf das Ziel (WAN) von außen, damit von außen auf die OPNsense per WAN-Zugriff gewährt wird. Die Ziel-IP (als ALIAS IP) und Ports (als ALIAS Port) müssen deine vom FTP(S/TLS) beherbergen, je nachdem was Du am Server eingestellt/freigegeben hast, z.B. 20-22, damit NAT funktioniert und die OPNsense weiß was und wohin damit. Minimiere die Ports auf die Notwendigkeit. Die "Firewall: Regeln: WAN" wird (sollte) dann automatisch erstellt (werden). Als Protokoll sollte nur TCP verwendet/eingestellt werden. Fertig.
Testen musst Du das dann mit einer externen VPN-Serververbindung aus einem anderen Land oder Du testest es mit der GeoIP-Einstellung kurzzeitig nur z.B. USA oder einem anderen Land außer DE. Quasi sich selbst zum Testen aussperren.
Beachte:
1. Umstellungen an GeoIP und Regeln können eine Zeit dauern bis diese angewendet werden, ggf. die OPNsense neu starten.
2. Wenn Du auf DE stellst kann jemand aus einem anderen Land über einen VPN-Server in DE immer noch zugreifen, eh klar. Es reduziert aber die "Angriffe/Zugriffe" schon enorm.
Wie dem auch sei...
Ich nehme an das dein FTP-Server generell erreichbar ist. Wenn nur DE-Adressen auf dein NAS über (S)FTP zugreifen sollen, dann wende die Regel so an wie ich bereits gepostet hab. Nochmal anbei.
Du erlaubst unter NAT nur den Quellen von GeoIP (ADRESSEN > DE) und (ALLE PORTS, ein freier Port wird ausgehandelt) einen Zugriff auf das Ziel (WAN) von außen, damit von außen auf die OPNsense per WAN-Zugriff gewährt wird. Die Ziel-IP (als ALIAS IP) und Ports (als ALIAS Port) müssen deine vom FTP(S/TLS) beherbergen, je nachdem was Du am Server eingestellt/freigegeben hast, z.B. 20-22, damit NAT funktioniert und die OPNsense weiß was und wohin damit. Minimiere die Ports auf die Notwendigkeit. Die "Firewall: Regeln: WAN" wird (sollte) dann automatisch erstellt (werden). Als Protokoll sollte nur TCP verwendet/eingestellt werden. Fertig.
Testen musst Du das dann mit einer externen VPN-Serververbindung aus einem anderen Land oder Du testest es mit der GeoIP-Einstellung kurzzeitig nur z.B. USA oder einem anderen Land außer DE. Quasi sich selbst zum Testen aussperren.
Beachte:
1. Umstellungen an GeoIP und Regeln können eine Zeit dauern bis diese angewendet werden, ggf. die OPNsense neu starten.
2. Wenn Du auf DE stellst kann jemand aus einem anderen Land über einen VPN-Server in DE immer noch zugreifen, eh klar. Es reduziert aber die "Angriffe/Zugriffe" schon enorm.
7
German - Deutsch / Re: GeoIP Problem
« on: January 11, 2024, 03:55:03 pm »
Dazu muss ich wissen was Du machen willst.
Eine "Fließende Regel" ist nicht zu empfehlen, denn warum soll es über alle Schnittstellen gelten? GeoIP wendet man eigentlich nur auf den WAN-Port (alles was von außen kommt) an, den die Listen sind externe Adressen die auf dein WAN eine Auswirkung haben sollen.
In deiner Regel blockierst du jede Quelle auf dein GeoIP... macht keinen Sinn. Löschen!
Was möchtest Du machen?
Eine "Fließende Regel" ist nicht zu empfehlen, denn warum soll es über alle Schnittstellen gelten? GeoIP wendet man eigentlich nur auf den WAN-Port (alles was von außen kommt) an, den die Listen sind externe Adressen die auf dein WAN eine Auswirkung haben sollen.
In deiner Regel blockierst du jede Quelle auf dein GeoIP... macht keinen Sinn. Löschen!
Was möchtest Du machen?
8
German - Deutsch / Re: GeoIP Problem
« on: January 10, 2024, 06:18:20 pm »
Dein Link scheint für OPNsense nicht konform zu sein, dein Key kommt mir auch ein bissel lang vor was aber nix heißen muss, den Du aber hier nicht posten solltest. 
Beantrage einen neuen Key, überprüfe diesen auf Korrektheit und ersetz die X im Link unten durch diesen.
Siehe auch: Anleitung
Lösche das Alias und erstelle ein neues! U.A. beim Wiederherstellen der OPNsense kann es passieren, das die Aktualisierung nicht mehr funktioniert. Einfach neu anlegen.
Ohne eine Regel anzuwenden wird GeoIP nicht funktionieren, damit werden nur die Daten geladen. Anwenden musst Du das in der Firewall, z.B. unter NAT für einen Nextcloud-Server der nur aus gewissen Ländern erreichbar sein soll. Siehe Bild.
Mach das mal und melde dich dann...
Beantrage einen neuen Key, überprüfe diesen auf Korrektheit und ersetz die X im Link unten durch diesen.
Siehe auch: Anleitung
Code: [Select]
https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=XXXXXXXXXXXXXXXXX&suffix=zip
Lösche das Alias und erstelle ein neues! U.A. beim Wiederherstellen der OPNsense kann es passieren, das die Aktualisierung nicht mehr funktioniert. Einfach neu anlegen.
Ohne eine Regel anzuwenden wird GeoIP nicht funktionieren, damit werden nur die Daten geladen. Anwenden musst Du das in der Firewall, z.B. unter NAT für einen Nextcloud-Server der nur aus gewissen Ländern erreichbar sein soll. Siehe Bild.
Mach das mal und melde dich dann...
9
German - Deutsch / Re: GeoIP Problem
« on: January 10, 2024, 07:31:28 am »
Moin,
zeig mal deine Firewall: "NAT: Portweiterleitung" Regel und die "Firewall: Aliase > GeoIP Einstellungen" die URL die Du eingetragen hast. Den Key mit XXXXXXX hier ins FORUM versteht sich
Auch gibt man in GeoIP an was weniger ist um die Liste kurz und effizient zu halten. Also wenn Du z.B. nur 3 Länder erlauben willst, dann wählt man diese an und blockiert alle bis auf die. Wenn Du z.B. nur 3 Länder sperren willst, dann wählt man diese an und erlaubt alle bis auf die. Das regelt man unter NAT zur Quelle.
Die GeoIP Einstellungen alleine ist keine "Blockliste" in dem Sinn, es scheint mir da unnötig viel ausgewählt zu sein. Auch wird damit noch keine Regel angewendet. Was genau willst Du damit machen?
zeig mal deine Firewall: "NAT: Portweiterleitung" Regel und die "Firewall: Aliase > GeoIP Einstellungen" die URL die Du eingetragen hast. Den Key mit XXXXXXX hier ins FORUM versteht sich
Auch gibt man in GeoIP an was weniger ist um die Liste kurz und effizient zu halten. Also wenn Du z.B. nur 3 Länder erlauben willst, dann wählt man diese an und blockiert alle bis auf die. Wenn Du z.B. nur 3 Länder sperren willst, dann wählt man diese an und erlaubt alle bis auf die. Das regelt man unter NAT zur Quelle.
Die GeoIP Einstellungen alleine ist keine "Blockliste" in dem Sinn, es scheint mir da unnötig viel ausgewählt zu sein. Auch wird damit noch keine Regel angewendet. Was genau willst Du damit machen?
10
German - Deutsch / Re: lokale DNS-Namen funktionieren nicht im Browser
« on: December 22, 2023, 04:24:41 pm »Hallo,
ich möchte auf meine Server bzw. deren GUI gerne über deren Hostnamen zugreifen können. Also z.B. wenn ich im Browser opnsense eingebe, dann soll die Webgui aufgehen. Das geht aber nicht, es öffnet sich immer eine Google-Suche. Über die IP geht es ganz normal.
Ich hab folgendes Setup:
Opnsense macht DHCP und. verteilt als DNS meinen Pihole. Im Pihole ist conditional forwarding aktiviert und die 3 Felder darunter entsprechend ausgefüllt.
Woran könnte es noch liegen?
Ich gehe mal von der Grundeinstellung OPNsense mit Unbound DNS und DHCPv4 [LAN] + Pihole + Fritzbox aus.
Ich empfehle dir "Unbound DNS" und "Dnsmasq-DNS" NICHT gleichzeitig zu verwenden!
OPNsense > Einstellungen > System > Verwaltung "Deaktiviere DNS-Rebinding-Prüfungen" CHECKBOX aktivieren.
OPNsense > Dienste > DHCPv4 [LAN] > DNS-Server = IP vom PiHole angeben.
OPNsense > Dienste > Unbound DNS > Allgemein > "Register DHCP Leases" und "Register DHCP Static Mappings" CHECKBOX aktivieren.
PiHole > Settings > DNS > Upstream DNS Servers > IP OPNsense z.B. 192.168.1.1#53
PiHole > Settings > DNS > Advanced DNS settings > "Never forward non-FQDN A and AAAA queries" und "Never forward reverse lookups for private IP ranges" CHECKBOX aktivieren.
Die Erklärungen dazu sind in den Dokus bereits beschrieben und sollten aktiviert bleiben.
DNSSEC in PiHole > CHECKBOX DNSSEC aktiviert gibt nur antworten zu DNSSEC-Anwendung aus, sonst nichts. SECURE oder INSECURE im Log.
Um DNSSEC zu nutzen, musst Du in der OPNsense unter "Dienste: Unbound DNS: Allgemein" <Aktiviere DNSSEC Unterstützung> die CHECKBOX aktivieren. Dann muss noch in der OPNsense oder Fritzbox ein öffentlicher DNS-Server angegeben werden der DNSSEC unterstützt. Ich habe das gleich in der übergeordneten Fritzbox über Quad9 mit zusätzlichen "DNS over TLS (DoT)" eingetragen. Das ist am "sichersten"!
TEST: https://wander.science/projects/dns/dnssec-resolver-test/
PiHole > Settings > DNS > Advanced DNS settings > "Use Conditional Forwarding" CHECKBOX aktivieren.
CDIR: 192.168.1.0/24
DHCP server: 192.168.1.1
Local domain name: local.net
Die IP(Range) und Domain variieren auf das was Du in deiner OPNsense angegeben hast. Den DHCP Server sollte in dem Fall OPNsense und nicht PiHole machen!
Überprüfe in PiHole ob deine IPs in Namen aufgelöst werden "Top Clients (total)" oder "Query Log" in der Spalte "Status"... da sollten spätestens jetzt Hostnamen und keine IPs angezeigt werden.
Deine Geräte (Beispiel "OPNsense" = https://opnsense) sollten nun lokal mit Namen erreichbar sein. Die Domain muss nur angeben werden, wenn sich die Geräte gegenüber nicht in der selbigen befinden. Andere Domains müssen erst bekannt gemacht werden.
11
German - Deutsch / Re: Günstige Hardware für ein VPN-Gateway
« on: December 22, 2023, 03:13:02 pm »Hallo Forum,
ich muss für ein Projekt mehrere VPN-Gatways aufbauen. Ziel ist es wirklich "nur" ein WireGuard VPN laufen zu lassen.
Die Geräte müssen 24/7 laufen und sollen so wenig wie möglich kosten. Also wieder "ganz" besondere Anforderungen
Habt ihr hier Empfehlungen?
Gruß
SM
Warum überhaupt OPNsense?
Wenn Du eine Fritzbox hast, ist die Funktion schon enthalten. Wenn nicht, kauf dir eine für dich ausreichende "günstige". Fertig.
12
German - Deutsch / Re: Unbound DNS nicht erreichbar
« on: May 15, 2022, 08:22:44 pm »
Hallo PTS,
wenn Du den externen DNS-Server 1.1.1.1 unter "Dienste: DHCPv4: [P0_LAN]" einträgst, wird nicht mehr der Unbount-DNS verwendet. Die Clients verwenden dann direkt als erstes den 1.1.1.1 usw.
Ich würde dir empfehlen, entweder schreibst Du den externen in Unbount rein oder gleich, wenn Du das hast, z.B. in die Fritz-Box. Dann unter "Dienste: DHCPv4: [P0_LAN]" einfach nichts eintragen: Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.
Als Beispiel ist Quad9 in der Fritz zu sehen...
wenn Du den externen DNS-Server 1.1.1.1 unter "Dienste: DHCPv4: [P0_LAN]" einträgst, wird nicht mehr der Unbount-DNS verwendet. Die Clients verwenden dann direkt als erstes den 1.1.1.1 usw.
Ich würde dir empfehlen, entweder schreibst Du den externen in Unbount rein oder gleich, wenn Du das hast, z.B. in die Fritz-Box. Dann unter "Dienste: DHCPv4: [P0_LAN]" einfach nichts eintragen: Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.
Als Beispiel ist Quad9 in der Fritz zu sehen...
13
German - Deutsch / Re: Unterschied zwischen WAN, WAN_VLAN und PPPoE Interface
« on: May 13, 2022, 10:39:10 pm »Ich glaube du hast einen kleinen Denkfehler hier, die Telekom Glasfaseranschlüsse werden wenn man keine Hardware dazubucht wirklich nur mit einem Glasfasermodem geliefert. Such mal nach "Deutsche Telekom Glasfaser Modem 2". Dieser Anschluss wird über PPPoE über den Ethernet Port konfiguriert, das macht bei mir die Sophos Box.Dann schau dir das mal an... LINK
Nach meinem Verständnis ist in meiner Konfiguration das PPPoE Interface das ausgehende Interface.In dem Fall ja, man kann auch z.B. eine FRITZ!Box 5530 Fiber (je nach ISP) direkt daran betreiben. Das "Glasfaser Modem 2" scheint ja nur aus dem FTTH einen Ethernet zu machen, den Verbindungsaufbau über PPPoE. Ob das ein reiner Medienkonverter ist will ich mal nicht behaupten, hatte noch keinen in den Fingern.
14
German - Deutsch / Re: Verständnisfrage zur DMZ
« on: May 13, 2022, 09:55:03 pm »
@JeGr Als Moderator grätscht man auch nicht rein und schreibt, wenn es dem Herrn nicht passen sollte, demjenigen eine PN und füttert nicht das Ganze Thema mit "FUD" zu um jemanden "gerade zu rücken". Auch deine Beurteiliung zu "halbwahren Infos"... Klargestellt hast Du hier überhaupt nichts nur weil dir die Definition DMZ nicht passt. FUD fürs Forum sorgst Du auch zu genüge damit, denn zum Thema was die Frage war kam bisher überhaupt nichts. Also erst mal selber an die Nase fassen, nicht so aufdrehen und locker bleiben.
15
German - Deutsch / Re: Verständnisfrage zur DMZ
« on: May 13, 2022, 06:52:53 pm »
Nach der Bibelstunde können wir, so glaube ich, wieder zum Alltagsgeschäft übergehen.
Es ist, für dich eine Definitionsfrage was auch richtig ist, für mich grundlegend zu vermitteln das er nicht einfach so alle Ports in einem Netz (wenn auch separat) oder Host einfach so freigibt, am besten noch ohne Trennung.
Vielleicht kannst Du ihm auch mal auf seine Post (Frage) antworten, denn das was wir beide hier diskutieren, können wir ja auch in einem extra Thema mal machen...
Aber auch nicht falsch verstehen, ja Du hast damit Recht und ich hätte es anders beschreiben müssen. Peace
Kleiner Wink, er hat Zugriffsprobleme ...
Es ist, für dich eine Definitionsfrage was auch richtig ist, für mich grundlegend zu vermitteln das er nicht einfach so alle Ports in einem Netz (wenn auch separat) oder Host einfach so freigibt, am besten noch ohne Trennung.
Vielleicht kannst Du ihm auch mal auf seine Post (Frage) antworten, denn das was wir beide hier diskutieren, können wir ja auch in einem extra Thema mal machen...
Aber auch nicht falsch verstehen, ja Du hast damit Recht und ich hätte es anders beschreiben müssen. Peace
Kleiner Wink, er hat Zugriffsprobleme ...