Messages

Moin,
ich hab den DNSCrypt-Proxy auf meiner OPN am Heimnetz laufen & das funktioniert im Lokalnetz auch super soweit.
Jetzt will ich aber die OPN als DNS-Server mit Wireguard das zu einem entfernten VPS verbunden ist nutzen & das funktioniert nur halb so gut. Weil teilweise werden manche Domains aufgelöst & manche eben nicht.
Wenn ich aber per Wireguard zu meinem Homelan verbunden bin & die OPN als DNS nutze, funktioniert der resolviervorgang mit allen Domains reibungslos.

Hat hier hmd. Ahnung von & hat ne lösung?
LG

Hallo,

Ich habe quasi genau diese Configuration: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
und möchte für die lokalen per NAT geforwardeten dienste ausnahme Regel für bestimmte host:ports aus dem IPsec site2site Tunnel.
Also das die freigegebenen dienste im lokalnetz vom ESP IPsecVPN Tunnel ausgenommen werden.
Das Problem ist ich kann aus den lokalen Netz nich auf meine dienste per publicdomain:port zugreifen, von ausserhalb, zB mit proxy gehts aber.

Hallo,
ich habe 2 OPN's hintereinander & diese per OpenVPN site2site miteinander verbunden (die vordere als Server & die hintere als Client). In der vergangenheit hat das auch gut funktioniert, nur seit einem update vor ~1 Woche tut das nichtmehr. Der Client disconnected einfach immerwieder & ich weiß nicht warum.
Hier ein auszug aus der Log des Clienten:

Code Select Expand

2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client disconnected
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client disconnected
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: CMD 'state'
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client disconnected
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client disconnected
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: CMD 'state'
2023-04-02T08:02:29 Notice openvpn_client1 MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2023-04-02T08:00:57 Notice openvpn_client1 Initialization Sequence Completed
2023-04-02T08:00:56 Notice openvpn_client1 Peer Connection Initiated with [AF_INET]87.179.140.223:1194
2023-04-02T08:00:47 Notice openvpn_client1 UDP link remote: [AF_INET]87.179.140.223:1194
2023-04-02T08:00:47 Notice openvpn_client1 UDP link local (bound): [AF_INET]192.168.101.10:0
2023-04-02T08:00:47 Notice openvpn_client1 Socket Buffers: R=[42080->42080] S=[57344->57344]
2023-04-02T08:00:47 Notice openvpn_client1 TCP/UDP: Preserving recently used remote address: [AF_INET]87.179.140.223:1194
2023-04-02T08:00:47 Warning openvpn_client1 ERROR: FreeBSD route add command failed: external program exited with error status: 1
2023-04-02T08:00:47 Notice openvpn_client1 /sbin/route add -net 192.168.101.0 10.10.0.1 255.255.255.0
2023-04-02T08:00:47 Notice openvpn_client1 /sbin/route add -net 192.168.101.0 10.10.0.1 255.255.255.0
2023-04-02T08:00:47 Notice openvpn_client1 /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1605 10.10.0.2 10.10.0.1 init
2023-04-02T08:00:47 Notice openvpn_client1 /sbin/ifconfig ovpnc1 10.10.0.2 10.10.0.1 mtu 1500 netmask 255.255.255.255 up
2023-04-02T08:00:47 Notice openvpn_client1 TUN/TAP device /dev/tun1 opened
2023-04-02T08:00:47 Notice openvpn_client1 TUN/TAP device ovpnc1 exists previously, keep at program end
2023-04-02T08:00:47 Notice openvpn_client1 ROUTE_GATEWAY 192.168.101.1/255.255.255.0 IFACE=vtnet1 HWADDR=26:25:02:2e:e7:50
2023-04-02T08:00:46 Notice openvpn_client1 Incoming Static Key Encryption: Using 512 bit message hash 'SHA3-512' for HMAC authentication
2023-04-02T08:00:46 Notice openvpn_client1 Incoming Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
2023-04-02T08:00:46 Notice openvpn_client1 Outgoing Static Key Encryption: Using 512 bit message hash 'SHA3-512' for HMAC authentication
2023-04-02T08:00:46 Notice openvpn_client1 Outgoing Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
2023-04-02T08:00:46 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-04-02T08:00:46 Notice openvpn_client1 MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
2023-04-02T08:00:46 Notice openvpn_client1 library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
2023-04-02T08:00:46 Notice openvpn_client1 OpenVPN 2.5.8 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jan 23 2023
2023-04-02T08:00:46 Warning openvpn_client1 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
2023-04-02T08:00:46 Warning openvpn_client1 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

Und hier des Servers:

Code Select Expand

2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: CMD 'state'
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:54:48 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:41 Notice openvpn_server1 Initialization Sequence Completed
2023-04-02T08:54:40 Notice openvpn_server1 Peer Connection Initiated with [AF_INET]87.179.140.223:5745
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: CMD 'state'
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: CMD 'state'
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client disconnected
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: CMD 'status 3'
2023-04-02T08:54:30 Notice openvpn_server1 MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2023-04-02T08:54:23 Notice openvpn_server1 UDPv4 link remote: [AF_UNSPEC]
2023-04-02T08:54:23 Notice openvpn_server1 UDPv4 link local (bound): [AF_INET]192.168.178.151:1194
2023-04-02T08:54:23 Notice openvpn_server1 Socket Buffers: R=[42080->42080] S=[57344->57344]
2023-04-02T08:54:23 Warning openvpn_server1 Could not determine IPv4/IPv6 protocol. Using AF_INET
2023-04-02T08:54:23 Notice openvpn_server1 /sbin/route add -net 192.168.1.0 10.10.0.2 255.255.255.0
2023-04-02T08:54:23 Notice openvpn_server1 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 IFACE=vtnet1 HWADDR=f6:b6:39:05:c4:03
2023-04-02T08:54:23 Notice openvpn_server1 Incoming Static Key Encryption: Using 512 bit message hash 'SHA3-512' for HMAC authentication
2023-04-02T08:54:23 Notice openvpn_server1 Incoming Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
2023-04-02T08:54:23 Notice openvpn_server1 Outgoing Static Key Encryption: Using 512 bit message hash 'SHA3-512' for HMAC authentication
2023-04-02T08:54:23 Notice openvpn_server1 Outgoing Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
2023-04-02T08:54:23 Warning openvpn_server1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-04-02T08:54:23 Notice openvpn_server1 MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
2023-04-02T08:54:23 Notice openvpn_server1 library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
2023-04-02T08:54:23 Notice openvpn_server1 OpenVPN 2.5.8 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jan 23 2023
2023-04-02T08:54:23 Warning openvpn_server1 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
2023-04-02T08:54:23 Warning openvpn_server1 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

aber auch wenn ich in der Client config die Haken bei "Don't pull routes" & "Don't add/remove routes" wegklicke, löst das nicht das Problem & er disconnected trotzdem immerwieder nur bleibt dann eben die Warnmeldung weg.

Ich habe es genau nach Anleitung eingerichtet & hat eig. auch immer so gut funktioniert, nun weiß ich nichtmehr weiter & hoffe es kann jmd. hier weiterhelfen?
Oder ist es doch ein Bug & ich muss warten bis die nächsten updates das Problem fixen?...

Hey super idee, so habe ich es jetzt auch mit 2 OPN's gebaut & diese per OpenVPN site2site verbunden.
Funktionier auch alles super, auch Portfreigaben usw.

Nur das IPv6 der 2ten OPN an der das LAN hängt funktioniert nicht. Ist es möglich die 2te OPN mit IPv6 zu versorgen?
Mit einer OPN funktioniert die v6 bei allen clienten, bei einem /57 auf WAN DHCPv6

anbei Bilder mit Infos:

Hallo,

ich würde meine OPN am Heimnetz gerne Koppeln, also per site-to-site VPN (bevorzugt Wireguard) und suche jemand der das mit mir mal testen würde.
Ich habe allerdings nur eine 100/40 Mbit Connection.

Super, jetzt funktioniert es  ;D
Vielen Dank!   ;)

Das kann ich in der FitzBox einstellen (siehe Pic)
Wie gesagt, ich kann im LAN Interface nur "Track WAN" einstellen damit es eine v6 Adresse bekommt & diese an die Clienten weitergibt. Allerdings dann eine im selben Präfix 2003:c3:570e:8900::

Wenn ich es auch auf "SLAAC" schalte bekommt es keine v6 Adresse & gibt auch keine an die Clients weiter & mehr sinnvolle möglichkeiten gibts ja nicht.

Mit dieser Anleitung per DHCPv6 hatte ich aber das selbe Problem: https://docs.opnsense.org/manual/how-tos/ipv6_dsl.htmlEs hat aber vor längerer Zeit mal funktioniert, aber ich glaub das war noch mit Version 20.x

Hallo,

ich nutze die aktuelle Version OPNsense 22.7.6-amd64 & habe aber schon länger das Problem mit IPv6 das ich vom internen Interface & von allen angeschlossenen Clients nicht rauspingen kann, bzw keinen IPv6 Host anpingen kann. Vom Externen Interface funktioniert es aber!

Das Problem besteht sowohl mit der Adressvergabe per DHCP sowohl auch per SLAAC, aber beide Interfaces (WAN/LAN) und alle Clienten bekommen auch eine IPv6 Adresse korrekt zugewiesen nur funktioniert der v6 Verkehr halt nicht im internen LAN.

Das WAN bezieht IPv6 per SLAAC vom fritz!box Router & das LAN per "Track Interface" von WAN. Wenn ich das LAN Interface auch auf SLAAC schalte bekommt es keine v6 Adresse zugewiesen, deshalb denke ich das es mit "Track Interface" so richtig eingestellt ist.

Hier ein auszug von der Interface Diagnostic Ping im LAN:

Code Select Expand

# /sbin/ping -6 -S '2003:c3:570e:8900:6a05:caff:feae:46e9'  -c '5' 'google.de'
PING6(56=40+8+8 bytes) 2003:c3:570e:8900:6a05:caff:feae:46e9 --> 2a00:1450:4001:827::2003

--- google.de ping6 statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
Hier vom WAN Interface:

Code Select Expand

# /sbin/ping -6 -S '2003:c3:570e:8900:1602:ecff:fe98:6acd'  -c '3' 'google.de'
PING6(56=40+8+8 bytes) 2003:c3:570e:8900:1602:ecff:fe98:6acd --> 2a00:1450:4001:827::2003
16 bytes from 2a00:1450:4001:827::2003, icmp_seq=0 hlim=60 time=20.456 ms
16 bytes from 2a00:1450:4001:827::2003, icmp_seq=1 hlim=60 time=19.972 ms
16 bytes from 2a00:1450:4001:827::2003, icmp_seq=2 hlim=60 time=19.223 ms

--- google.de ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 19.223/19.883/20.456/0.507 ms

Hi, i maintain some Servers on that runs different services & i want to block/ban out some Host's from Internet, that they don't can connect to my Network.

I have createt a Firewall blocking rule on WAN Interface with the targeted IPv4 as Source that i want to block. As Destination i have setted the WAN Adress & the Port to any or the specified for that i want to block the connection. The Protocol is TCP/UDPv4 or any.

Normally this rule must work & block or reject the connection from the specified Host.
But it don't do this, why?

What's wrong & how it don't want to work?
Can you help me please?

Many Thanks, Greetings

Ja, die Ports der Maschinen auf denen die services laufen sind per NAT zu WAN weitergeleitet.

Und so wie ich hier sehe kann ich keine selbst erstellten Regeln über die automatisch erzeugten schieben (OPNsense 20.1.3).

Hi,
ich betreibe Server auf denen diverse Instanzen laufen & möchte die Verbindung zu diesen für bestimmte Host's aus dem Internet blockieren. Also diese aus meinem Netzwerk aussperren.

Ich habe dazu eine Firewall Regel auf WAN erstellt:
Action: Block/reject -> Eingehend -> TCP/UDP v4 -> Quelle: [zu blockende Host IP] -> Quellport: any -> Ziel: WAN Adresse -> Zielport: any (oder zB. 80 HTTP).

Leider funktioniert diese Regel so nicht, die Verbindung der angegebenen Host's wird nicht blockiert.

Kann mir da jemand helfen & sagen warum das so nicht funktioniert?

Vielen Dank,
Gruß Alex