1
German - Deutsch / Re: VTI IPsec + routing
« on: November 14, 2024, 01:21:23 pm »
Wie gesagt dynamic ist in diesem Fall keine Option. Aber danke.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1] 2
2
German - Deutsch / Re: VTI IPsec + routing
« on: November 14, 2024, 10:19:27 am »
Hi,
der Gedanke ist das ich zwei Gateways mit unterschiedlicher Priorität habe und dazu zwei routen. Fällt ein Gateway aus soll der Traffic über das Gateway laufen was noch aktiv ist.
Ja dynamic routing mache ich auch aber soll in diesem Fall nicht eingesetzt werden.
der Gedanke ist das ich zwei Gateways mit unterschiedlicher Priorität habe und dazu zwei routen. Fällt ein Gateway aus soll der Traffic über das Gateway laufen was noch aktiv ist.
Ja dynamic routing mache ich auch aber soll in diesem Fall nicht eingesetzt werden.
3
German - Deutsch / VTI IPsec + routing
« on: November 14, 2024, 09:49:36 am »
Moin zusammen,
ich habe ein Problem mit dem Routing in zwei VTI Tunneln.
Zwischen FW-A und FW-B bestehen zwei Tunnel. Hinter FW-B gibt es ein Netz das ich erreichen will, 10.3.2528/29.
Also habe ich zweit GWs mit unterschiedlicher Prirotität angelegt, einmal 10 für primary und einmal 254 als secondary. Wenn ich nun eine Route eintrage für das GW Prio 10 funktioniert alles sobald ich aber die zweite Route eintrage mit dem GW Prio 254 wird diese bevorzugt behandelt. Und der Traffic geht dann nur noch über das GW 254. Disable ich die Route mit Prio 254, droppt der Traffic. Nur wenn ich die Route mit Prio 254 lösche wird der Traffic wieder über die Router mit Prio 10 geroutet.
Ich hoffe ich habe das irgendwie verständlich ausgedrückt.
Habe ich da irgendwie ein Fehler drin, dachte das ich mit der GW Prio das static routing beeinflussen kann. Oder muss ich GW Gruppen anlegen?
Versions
OPNsense 24.7.8-amd64
Danke,
MaDe
ich habe ein Problem mit dem Routing in zwei VTI Tunneln.
Zwischen FW-A und FW-B bestehen zwei Tunnel. Hinter FW-B gibt es ein Netz das ich erreichen will, 10.3.2528/29.
Also habe ich zweit GWs mit unterschiedlicher Prirotität angelegt, einmal 10 für primary und einmal 254 als secondary. Wenn ich nun eine Route eintrage für das GW Prio 10 funktioniert alles sobald ich aber die zweite Route eintrage mit dem GW Prio 254 wird diese bevorzugt behandelt. Und der Traffic geht dann nur noch über das GW 254. Disable ich die Route mit Prio 254, droppt der Traffic. Nur wenn ich die Route mit Prio 254 lösche wird der Traffic wieder über die Router mit Prio 10 geroutet.
Ich hoffe ich habe das irgendwie verständlich ausgedrückt.
Habe ich da irgendwie ein Fehler drin, dachte das ich mit der GW Prio das static routing beeinflussen kann. Oder muss ich GW Gruppen anlegen?
Versions
OPNsense 24.7.8-amd64
Danke,
MaDe
4
23.7 Legacy Series / monit + restart ipsec
« on: October 20, 2023, 04:25:27 pm »
Good day,
I tried to restart my VPN tunnel with Monit when tunnel endpoint is not reachable.
VPN setup is the new one --> CONNECTIONS [NEW].
I setup the monitor like descried in https://docs.opnsense.org/manual/monit.html#example-2.
Monit recognized the that the tunnel is down but ended up with an error.
I also tried it via CLI with this command:
This working and shuts down the tunnel.
Did I miss something? Or will it be because I am using the 'new' setup for the VPNs?
Thanks,
MaDe
I tried to restart my VPN tunnel with Monit when tunnel endpoint is not reachable.
VPN setup is the new one --> CONNECTIONS [NEW].
I setup the monitor like descried in https://docs.opnsense.org/manual/monit.html#example-2.
Monit recognized the that the tunnel is down but ended up with an error.
Code: [Select]
2023-10-20T15:17:20 Error monit 'Restart_IPSEC' ping test failed
2023-10-20T15:17:20 Error monit Ping response for 10.56.255.44 4/4 timed out -- no response within 5 s
2023-10-20T15:17:15 Warning monit Ping response for 10.56.255.44 3/4 timed out -- no response within 5 s
2023-10-20T15:17:10 Warning monit Ping response for 10.56.255.44 2/4 timed out -- no response within 5 s
2023-10-20T15:17:05 Warning monit Ping response for 10.56.255.44 1/4 timed out -- no response within 5 s
I also tried it via CLI with this command:
Code: [Select]
# ipsec down b02cf2ec-96fd-4386-afb1-1c8b97918a9d
This working and shuts down the tunnel.
Did I miss something? Or will it be because I am using the 'new' setup for the VPNs?
Thanks,
MaDe
5
23.7 Legacy Series / Re: os-frr + bgp + route map
« on: October 19, 2023, 12:53:40 pm »
No errors when I remove the prefix-list from the route map
Code: [Select]
address-family ipv4 unicast
redistribute connected
neighbor 10.113.255.0 activate
neighbor 10.113.255.0 route-map rt_bgp_map out
neighbor 10.113.255.17 activate
neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
redistribute connected
exit-address-family
!
ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
!
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
!
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
!
!
!
route-map rt_bgp_map permit 10
!
!
!
line vty
!
6
23.7 Legacy Series / os-frr + bgp + route map
« on: October 19, 2023, 11:44:12 am »
Good day,
I have an issue with the BGP routing. I use prefix-lists and add them to a route map.
I get this error msg:
When I compare the two outputs I see only the difference
OPNsense 23.7.6-amd64 is running on both systems.
Now I wonder if I have overlooked anything in the configuration. Maybe someone has an idea what I can still check. Thanks a lot,
MaDe
I have an issue with the BGP routing. I use prefix-lists and add them to a route map.
I get this error msg:
Code: [Select]
[VAKV3-NMY7B][EC 100663337] error processing configuration change: error [internal inconsistency] event [apply] operation [modify] xpath [/frr-route-map:lib/route-map[name='rt_bgp_map']/entry[sequence='10']/match-condition[condition='ipv4-prefix-list']/rmap-match-condition/list-name]So the error msg points me to the prefix lists but I can't determine what is wrong with the prefix lists.Code: [Select]
vtysh -c "show running-config"
Current configuration:
!
frr version 8.5.3
frr defaults traditional
hostname hostname
log syslog informational
!
router bgp 64720
no bgp ebgp-requires-policy
no bgp default ipv4-unicast
neighbor 10.113.255.0 remote-as 64512
neighbor 10.113.255.0 update-source ipsec10
neighbor 10.113.255.0 timers 1 5
neighbor 10.113.255.0 timers connect 2
neighbor 10.113.255.8 remote-as 64841
neighbor 10.113.255.8 update-source ipsec30
neighbor 10.113.255.8 timers 1 5
neighbor 10.113.255.8 timers connect 2
neighbor 10.113.255.17 remote-as 64729
neighbor 10.113.255.17 update-source ipsec50
neighbor 10.113.255.17 timers 1 5
neighbor 10.113.255.17 timers connect 2
!
address-family ipv4 unicast
redistribute connected
neighbor 10.113.255.0 activate
neighbor 10.113.255.0 weight 200
neighbor 10.113.255.0 route-map rt_bgp_map out
neighbor 10.113.255.8 activate
neighbor 10.113.255.8 weight 99
neighbor 10.113.255.8 route-map rt_bgp_map out
neighbor 10.113.255.17 activate
neighbor 10.113.255.17 weight 98
neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
redistribute connected
exit-address-family
exit
!
ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
route-map rt_bgp_map permit 10
exit
!
end
Code: [Select]
# nano /usr/local/etc/frr/bgpd.conf
GNU nano 7.2 /usr/local/etc/frr/bgpd.conf Modified
neighbor 10.113.255.17 remote-as 64729
neighbor 10.113.255.17 weight 98
neighbor 10.113.255.17 update-source ipsec50
neighbor 10.113.255.17 timers 5 5
neighbor 10.113.255.17 timers connect 2
address-family ipv4 unicast
redistribute connected
neighbor 10.113.255.0 activate
neighbor 10.113.255.0 route-map rt_bgp_map out
neighbor 10.113.255.17 activate
neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
redistribute connected
exit-address-family
!
ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
!
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
!
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
!
!
!
route-map rt_bgp_map permit 10
match ip address prefix-list acl_bgp_filter_out
!
!
!
line vty
!
When I compare the two outputs I see only the difference
Code: [Select]
vtysh
route-map rt_bgp_map permit 10
Code: [Select]
/usr/local/etc/frr/bgpd.conf
route-map rt_bgp_map permit 10
match ip address prefix-list acl_bgp_filter_out
OPNsense 23.7.6-amd64 is running on both systems.
Now I wonder if I have overlooked anything in the configuration. Maybe someone has an idea what I can still check. Thanks a lot,
MaDe
7
German - Deutsch / reverse proxy | nginx | host not found in upstream
« on: July 12, 2022, 03:28:11 pm »
Hallo zusammen,
ich habe folgendes Problem:
Ich habe nginx als Reverse Proxy mit mehreren Upstream Servern konfiguriert. Nicht alle Upstream Server sind erreichbar und werden nur bei Bedarf angeschaltet. Das Setup funktionierte auch bis zum Upgrade auf V22.1.10.
Nun ist es aber so das nginx nicht mehr starten will und "nginx: [emerg] host not found in upstream " als Fehler ausgibt. Irgendwer eine Idee wie ich ngnix wieder zum Laufen bekomme?
Danke für Eure Idee.
ich habe folgendes Problem:
Ich habe nginx als Reverse Proxy mit mehreren Upstream Servern konfiguriert. Nicht alle Upstream Server sind erreichbar und werden nur bei Bedarf angeschaltet. Das Setup funktionierte auch bis zum Upgrade auf V22.1.10.
Nun ist es aber so das nginx nicht mehr starten will und "nginx: [emerg] host not found in upstream " als Fehler ausgibt. Irgendwer eine Idee wie ich ngnix wieder zum Laufen bekomme?
Danke für Eure Idee.
8
German - Deutsch / Authentifizierungsverfahren | 2FA console GUI
« on: February 17, 2022, 12:15:59 pm »
Hallo zusammen,
ich würde gerne 2FA + GUI mit der OPNsense realisieren. Das ganze funktioniert soweit auch ganz gut.
Aber ich würde das ganze gerne so lösen:
Den Root User würde ich gerne deaktivieren und einen eigenen User anlegen. Außerdem einen Consolen User Account, falls ich mit dem 2FA Probleme bekommen dann sollte ich immer Zugriff auf die Console bekommen.
consolen user -> nur console
ssh user -> nur Key
gui user -> nur 2FA
Aber irgendwie habe ich nicht den Überblick wie ich das implementieren kann. Wenn ich zum Beispiel dem consolen user alle GUI Berechtigungen entziehe, kann ich auch nicht mehr die OPNsense Shell aufrufen. Gebe ich dem consolen user die Rechte geht der Zugriff auf die OPNsense Shell aber dann auch auf die GUI.
Und wie ist es bei SSH wenn ich 2FA aktiviere? Muss ich dann auch den Token mit übergeben?
Wie habt ihr den Zugriff umgesetzt? Für ein paar Tips wäre ich sehr froh.
Danke, MaDe
ich würde gerne 2FA + GUI mit der OPNsense realisieren. Das ganze funktioniert soweit auch ganz gut.
Aber ich würde das ganze gerne so lösen:
Den Root User würde ich gerne deaktivieren und einen eigenen User anlegen. Außerdem einen Consolen User Account, falls ich mit dem 2FA Probleme bekommen dann sollte ich immer Zugriff auf die Console bekommen.
consolen user -> nur console
ssh user -> nur Key
gui user -> nur 2FA
Aber irgendwie habe ich nicht den Überblick wie ich das implementieren kann. Wenn ich zum Beispiel dem consolen user alle GUI Berechtigungen entziehe, kann ich auch nicht mehr die OPNsense Shell aufrufen. Gebe ich dem consolen user die Rechte geht der Zugriff auf die OPNsense Shell aber dann auch auf die GUI.
Und wie ist es bei SSH wenn ich 2FA aktiviere? Muss ich dann auch den Token mit übergeben?
Wie habt ihr den Zugriff umgesetzt? Für ein paar Tips wäre ich sehr froh.
Danke, MaDe
9
German - Deutsch / Re: Aliases | URL Table
« on: December 02, 2021, 09:10:39 am »
Moin,
danke für die Antworten. Ich habe die Aliases überarbeitet, jetzt funktioniert alles.
Danke & Gruß
MaDe
danke für die Antworten. Ich habe die Aliases überarbeitet, jetzt funktioniert alles.
Danke & Gruß
MaDe
10
German - Deutsch / Aliases | URL Table
« on: December 01, 2021, 02:51:07 pm »
Moin zusammen,
Ich habe ein seltsames Problem mit einem Alias Eintrag. Ich habe mehrere Aliases (nicht nested) für URL Tables eingerichtet. So weit funktioniert das auch alles sehr gut. Aber dieser Alias wirft mir im Log immer diese Fehlermeldung raus. Ich werde aus der Fehlermeldung nicht richtig schlau, warum sollte er BlocklistDshield auflösen? Oder wird gemeint das feeds.dshield.org nicht aufgelöst werden konnte?
Für nen Tip wäre ich echt dankbar.
Gruß MaDe
Ich habe ein seltsames Problem mit einem Alias Eintrag. Ich habe mehrere Aliases (nicht nested) für URL Tables eingerichtet. So weit funktioniert das auch alles sehr gut. Aber dieser Alias wirft mir im Log immer diese Fehlermeldung raus. Ich werde aus der Fehlermeldung nicht richtig schlau, warum sollte er BlocklistDshield auflösen? Oder wird gemeint das feeds.dshield.org nicht aufgelöst werden konnte?
Für nen Tip wäre ich echt dankbar.
Quote
2021-12-01T13:52:00 /update_tables.py[37610] resolving 1 hostnames (0 addresses) for BlocklistDshield took 0.03 seconds
2021-12-01T13:52:00 /update_tables.py[37610] The DNS query name does not exist: Start. [for BlocklistDshield]
2021-12-01T13:52:00 /update_tables.py[37610] fetch alias url https://feeds.dshield.org/block.txt (lines: 49)
Gruß MaDe
11
General Discussion / SOLVED - Re: YubiKey + Configure 2FA TOTP
« on: September 01, 2021, 11:54:17 am »
Thanks for helping me out, Bart.
12
General Discussion / Re: YubiKey + Configure 2FA TOTP
« on: August 27, 2021, 08:03:56 am »
I need the Yubico app to use the Yubikey and also the MS authenticator app? That does not make it easier.
Thought I can just use the Yubikey as a 'backup' in case I don't have the phone with me.
Thx,
MaDe
Thought I can just use the Yubikey as a 'backup' in case I don't have the phone with me.
Thx,
MaDe
13
General Discussion / Re: YubiKey + Configure 2FA TOTP
« on: August 26, 2021, 04:12:56 pm »
I would like to use both, either the YubiKey or the MS app. For example, if I forget the key at home I still have the app, or the other way around.
14
General Discussion / Re: YubiKey + Configure 2FA TOTP
« on: August 26, 2021, 08:07:29 am »
Hi Bart,
thanks for your reply. But I'm lost....
I don't want to use the Yubico app. I use the MS authenticator app, works for me.
But I also have a 'YubiKey 5 NFC' and I thought it would be possible to use the key. In the case what I have faster at hand either the MS app or the key.
Made
thanks for your reply. But I'm lost....
I don't want to use the Yubico app. I use the MS authenticator app, works for me.
But I also have a 'YubiKey 5 NFC' and I thought it would be possible to use the key. In the case what I have faster at hand either the MS app or the key.
Made
15
General Discussion / SOLVED - YubiKey + Configure 2FA TOTP
« on: August 25, 2021, 09:55:33 am »
Good day,
is there a way to use the YubiKey for WebGui login? I followed this tutorial https://docs.opnsense.org/manual/how-tos/two_factor.html and it is working.
But questions was if it also possible with a YubiKey OTP.
Thanks for your advice.
is there a way to use the YubiKey for WebGui login? I followed this tutorial https://docs.opnsense.org/manual/how-tos/two_factor.html and it is working.
But questions was if it also possible with a YubiKey OTP.
Thanks for your advice.
Pages: [1] 2