Messages

1

German - Deutsch / Re: Einspielen einer Konfiguration in neuer Version?

« on: July 31, 2024, 11:35:13 am »

Moin!
Das habe ich zu genüge im professionellen Umfeld auf hochproduktiven Firewalls gemacht
Es ging da um virtualisierte Instanzen und hat immer einwandfrei funktioniert. Lediglich die Interfaces sind in manchen Versionen durcheinander gegangen. Das habe ich in dem Hypervisor einfach wieder passend umkonfiguriert und somit war die Downtime nicht größer als 5 Minuten.

Es waren verschiedenste Dienste im Einsatz. IPsec, OpenVPN, BGP, NAT, etc ...

Ich habe damit auch gelegentlich mehrere Releases "übersprungen". Und im Zweifel schaltest du die alte Kiste wieder ein und gut. War aber nie notwendig.

2

German - Deutsch / DHCP Server Option 43

« on: June 25, 2024, 05:10:21 pm »

Hallo zusammen,

ich möchte aktuell eine OPNsense mit einem DHCP-Server ausrollen. Die "Besonderheit" ist allerdings, dass ich die Option 43 an alle Clients senden möchte. Es ist die aktuellste OPNsense Version installiert und ich nutze den ISC-DHCP, da der KEA noch keine Options in der GUI ermöglicht. ISC-DHCP Option 43 konfiguriere ich normal in der GUI über Advanced und dann Option 43 als String und den entsprechenden HEX-Wert meiner URL, die mitgegeben werden soll.

Der DHCP-Client muss diese Information bei jedem DHCPOFFER vom Server gesendet bekommen. Das macht die Sense wohl nicht von sich aus.

Mit einem ISC-DHCP auf einer normalen Linux-Kiste geht das ohne Probleme mit folgenden Parametern:
option dhcp-parameter-request-list 3, 5, 6, 43;
option vendor-encapsulated-options 68:74:74:......;


Auch beim Mikrotik Board hat man im DHCP Server die Möglichkeit "force" mitzugeben, sodass dies funktioniert.

Kann mir da jemand einen Tipp geben oder hatte ein ähnliches Problem schon mal?

Danke euch!

3

German - Deutsch / Re: PPPoE ohne physikalisches Modem

« on: April 16, 2024, 11:13:46 am »

Danke für die Rückmeldung. Klassischer Fall von: "wenn man nicht alles selber macht".

Es gab lediglich ein Problem mit dem VLAN in dem Hypervisor. Habe schon an mir selbst gezweifelt. :-D

Um deine Frage aber noch zu beantworten: Ich stelle den Einwahlserver selbst bereit und natürlich sitzt da irgendwo eine ONT davor.

4

German - Deutsch / Re: PPPoE ohne physikalisches Modem

« on: April 15, 2024, 05:10:02 pm »

Im Grunde ist das Glas. Aber der Virtualisierungs-Host ist entsprechend an das VLAN angebunden und das wird untagged übergeben. Für mein Verständnis sollte das dann ohne weitere VLAN Konfiguration funktionieren. Daher habe ich jetzt nur ein Interface in der OPNsense auf PPPoE konfiguriert und das Interface entsprechend in VMware angebunden.

5

German - Deutsch / PPPoE ohne physikalisches Modem

« on: April 15, 2024, 03:59:36 pm »

Hallo zusammen,

ich verzweifle grade an der PPPoE Konfiguration meiner OPNsense. Ist nicht die erste Instanz unter meiner Administration, allerdings kam ich mit PPPoE nie in Berührung.

Ich habe eine virtualisierte OPNsense und möchte gerne eine PPPoE Einwahl über ein Interface machen. Das entsprechende VLAN und die Einwahl-Daten habe ich konfiguriert. Allerdings wird bisher keine Verbindung aufgebaut. Ich habe nicht wie viele andere ein physikalisches Modem im Einsatz. Daher nun meine Frage ob das überhaupt so funktionieren kann, wie ich mir das wünsche?

LG

6

German - Deutsch / Re: Restart bei Aufruf Webinterface?

« on: August 15, 2023, 01:16:59 pm »

Moin zusammen,

ich beobachte das Problem auch seit einiger Zeit. Die Weboberfläche "stirbt" sobald man am IPsec aktiv konfiguriert oder z.B. einige Tunnel kurz nacheinander neuaufbaut etc...
Das äußert sich so, dass die Status Page dann leer bleibt, die VPNs gehen nach und nach offline und am Ende ist auch die Oberfläche tot.

Workaround ist aktuell folgender: charon Dienst über CLI killen, WebGUI Restart, IPsec deaktivieren, IPsec aktivieren und IPsec restart. Danach langsam die VPNs nach und nach wieder aufbauen. Dabei empfiehlt es sich Geduld mitzubringen. Ist man zu schnell, muss die ganze Prozedur erneut durchgeführt werden.
Aktuell befinden sich rund 40 aktive Tunnel auf meiner OPNsense Installation.

7

German - Deutsch / Re: NAT vor route-based VPN

« on: May 19, 2023, 10:51:51 am »

Jap, daher meine Frage Ich möchte idealerweise nichts aufgeben. Nunja, wenn das nicht geht, muss ich dafür wohl eine weitere VM nutzen. Nützt ja nichts.

8

German - Deutsch / Re: NAT vor route-based VPN

« on: May 19, 2023, 10:25:15 am »

Vielen Dank für die schnelle Antwort! Das war mir nicht bekannt.

Mit Policy-Based VPNs und NAT habe ich auch durchweg positive Erfahrungen. Da habe ich auch sehr viele Tunnel gebaut.

Allerdings verlangt es in diesem Fall die Gegenseite nunmal so leider. Dann muss ich da wohl etwas anderes außerhalb der FW basteln. Oder hast du einen Work-Around parat?

Danke!

9

German - Deutsch / NAT vor route-based VPN

« on: May 19, 2023, 08:06:26 am »

Hallo zusammen,

ich habe mal eine Frage bezüglich einem route-based VPN. Und zwar handelt es sich um folgendes Szenario:

Ich verwalte auf meiner Seite eine OPNsense. Die Gegenseite ist ein fremd-verwaltetes Amazon AWS Netzwerk zu dem eine route-based VPN-Verbindung aufgebaut wird. Der Tunnel ist online (Phase1 und Phase 2 erfolgreich aufgebaut).
Die Gegenseite erwartet (aus Gründen) aber ein anderes als mein LAN-Netz (ein /16). In der alten FW (FortiGate) konnte ich das NAT ohne Probleme konfigurieren. In der Sense bekomme ich das nicht ans Laufen. Weder per One-To-One BI-NAT noch per Outbound NAT-Regel. Sobald die NAT Regel greift, läuft der Traffic nicht ins VPN rein. Deaktiviere ich sämtliche NAT-Regeln für diesen Traffic, landet der Traffic mit seiner richtigen IP-Adresse im VPN. Die Gegenseite kann aber nicht mit der Adresse arbeiten und erwartet wie gesagt ein anderes Netz.

Ist das schlichtweg nicht möglich? Muss ich vllt zusätzlich SPD Einträge setzen? Das kann man ja in einem "normalen" Tunnel einfach in der Phase2 konfigurieren.

10

German - Deutsch / Re: IPsec VPN - Routen werden nicht angelegt

« on: February 16, 2022, 01:50:34 pm »

Es gab ein allgemeines Routing Problem der OPNsense. Nach einem Neustart war alles behoben.

11

German - Deutsch / IPsec VPN - Routen werden nicht angelegt

« on: February 09, 2022, 03:23:17 pm »

Hallo zusammen,

ich habe aktuell das Problem, dass die Routen nicht mehr automatisch angelegt werden wenn ein rule-based IPsec VPN online geht. Das betrifft aktuell glücklicherweise nur einen Tunnel. Es führt allerdings zu sehr komischen Effekten.

Version:
OPNsense 21.7.5-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Sowohl in der Tunnel Konfiguration als auch in der IPsec Konfiguration ist aktiviert, dass die Routen/Rules automatisch angelegt werden.

Konfiguriere ich die Routen händisch, funktioniert das auch nicht wirklich.

Ist das eventuell ein bekanntes Problem? Workaround? Kann das durch eine Vielzahl von IPsec VPNs bedingt sein ? Das ist Tunnel Nummer 31

12

German - Deutsch / Re: Remote syslog Server über bestimmtes Interface ansprechen

« on: December 22, 2021, 05:39:23 pm »

Ah super. Vielen Dank. Ich hatte da ein kleines Routing Problem. So macht das nun auch Sinn.

13

German - Deutsch / Remote syslog Server über bestimmtes Interface ansprechen

« on: December 22, 2021, 04:32:13 pm »

Hallo zusammen,

ich möchte gerne mehrere OPNsense Instanzen auf einen Syslog-Server loggen lassen. Bei dem ersten System funktioniert das auch wunderbar.

 Bei den anderen Systeme stellt sich mir nun die Frage ob ich den Traffic zum Syslog-Server über ein bestimmtes Interface raus geben kann? In der GUI sehe ich keine Möglichkeit das zu konfigurieren. Aktuell wird scheinbar automatisch das WAN Interface verwendet. Das ist bei meinem Setup aber so nicht umsetzbar und ich würde das gerne ändern.

Vielleicht kann mir ja jemand einen Tipp geben oder steht vor dem gleichen Problem.

Eingesetzte Version: OPNsense 21.7.5-amd64

Vielen Dank und schöne Grüße,
Björn

14

German - Deutsch / IPsec VPN - multiple Phase 2 inklusive Source NAT

« on: August 05, 2021, 03:58:45 pm »

Hallo zusammen,

ich habe aktuell mal wieder ein kleines Problem bezüglich IPsec VPN auf der OPNsense 20.1.7 (virtualisiert).

Es handelt sich um Site-To-Site IPsec VPN (IKEv1) mit zwei Phase2 Einträgen. Aktiviert ist Tunnel Isolation und entsprechende SPD Entries für das Source NAT.

"Outgoing NAT" wurde ebenfalls für beide Netze der Phase2 konfiguriert.

Jedoch funktioniert der "genattete" Zugriff nur für je eine Phase2. Ohne NAT (direkt aus dem im VPN konfigurierten Netz) funktioniert der Zugriff auf beide Zielnetze einwandfrei.

Gibt es da noch irgendwo einen Trick, Kniff oder eine Info wie ich das angehen kann? Oder funktioniert das schlichtweg nicht? In meiner vorherigen FortiGate funktionierte sowas wunderbar. Das fehlt mir aktuell ein wenig.

Vielen Dank im Voraus!

15

German - Deutsch / virtualisierte Appliance erkennt neue Interfaces nicht

« on: January 02, 2020, 09:39:51 am »

Guten Morgen und ein frohes neues Jahr zusammen!

Ich suche seit Tagen vergebens nach einer Lösung für mein Problem. Ich habe mehrere unter VMWare ESXi virtualisierte OPNsense Installationen. Möchte ich nachträglich ein Netzwerk-Interface zur VM hinzufügen, erkennt die OPNsense dies leider nicht. Erst ein Neustart schafft Abhilfe. Dies ist sicher nicht im Sinne des Erfinders. Ich möchte nicht für jedes neue Netzwerk einen Neustart durchführen.

Gibt es eine Möglichkeit die Interfaces zu scannen? Muss ein besonderer Dienst neugestartet werden?

Top-Aktuelle Version ist installiert.

Gruß,
Björn