Messages

Hallo zusammen,

ich bekomme es entweder hin, dass die DNS Anfragen direkt an den Windows DNS Server weitergeleitet werden oder dass die DNS Anfragen aus dem OpnSense Cache ewig genutzt werden. Allerdings schaffe ich es nicht, dass der OpnSense Cache z.B. 1 Minute verwendet wird und dann wieder den Windows DNS Server anfragt.
Welche Einstellungen muss ich vornehmen, damit das funktioniert?


Wenn ich die Einträge "Nachrichtenzwischenspeichergröße" und "RRset Cache Size" leer lasse, dann sehe ich auf dem Windows DNS Server in WireShark das jede Clientanfrage kommt, sofern ich auf dem Windows Client "ipconfig /flushdns" vor dem Ping ausführe.

Aber ob ich für "TTL for Host Cache entries" und "Anzahl an Hosts zur Zwischenspeicherung" etwas angebe oder nicht macht keinen Unterschied.

Vielleicht kann mich ja jemand aufklären, was ich falsch mache, vielen Dank :)

PS: Im Anhang ein paar Bilder zur Orientierung.

Hi,

ich habe 2 Windows DNS Server, die mittels opnSense und Unbound DNS via Domainüberschreibung erreichbar sind.

Wenn ich eine IP-Adresse von einem DNS Namen ändere und diese bei beiden Servern abgeglichen sind, dann bekomme ich an dem Windows Client immer noch die alte Adresse. Dabei wurde ipconfig /flushdns auf dem Client durchgeführt. Starte ich Unbound DNS neu (Flush DNS Cache during reload = aktiv) dann bekomme ich die geänderte Adresse.

Was muss ich machen, damit der OpnSende schneller mal nachschaut, ob sich die IP geändert hat.
"TTL for Host Cache entries" steht auf 60 Sekunden, nur nach mehreren Minuten gehts es immer noch nicht.

Zwei Bilder der aktuellen Konfig ist im Anhang.

Vielen Dank für alle Tipps, wie man Unbound DNS sinnvoll konfiguriert.

Hallo @JeGr,

Danke für deine Idee.

Ich habe mal ein Bild in den Anhang eingefügt. Meinst du diese Einstellungen. Die habe ich mal in den OpenVPN Server Konfiguration und Client-Einstellungen aktiviert. Aber ohne erfolg.

Erzwinge DNS-Cache Aktualisierung: Führen Sie "net stop dnscache", "net start dnscache", "ipconfig /flushdns" und "ipconfig /registerdns" beim Verbindungsaufbau aus. Dies ist ein bekannter Trick, um Windows dazu zu bringen, die DNS-Server zu erkennen.

Prevent DNS leaks:    
Block DNS servers on other network adapters to prevent DNS leaks. Compatible with Windows clients only.

Hallo zusammen,

ich habe einen OpenVPN Server auf der OpnSense. Wenn ich mich über das OpenVPN Tool einlogge, bekomme ich eine IP und kann auch meinen dort verwendeten DNS Server pingen. DNS Anfragen wie "MyServer.MyDomain.local" funktionieren auch. Wenn ich aber "MeinServer" (ohne Domain) pinge funktioniert das nicht.

Mir ist aufgefallen, dass bei der Netwerkkarte "TAP-Windows Adapter V9 for OpenVPN Connect" keinen nach der Netzwerkidentifizierung nicht der Domain Sufix MeineDomai.local angezeigt wird sondern nur "LAN-Verbindung 6". Wenn ich mich aber mit meinem VPN Client in die Firma einwähle, wird mir deren Domain Sufix Firmal.local angezeigt.

Im Anhang findet ihr meine OpenVPN Configuration für den Server. Dort habe ich unter "DNS Standard Domain" und unter "DNS Domänen Suchliste" den DNS namen angegeben. Leider ohne erfolg.

Habt ihr eine Idee, was ich beachten muss?

Does no one have any ideas for me?
Is it possible to read out the rules via Create, Delete?

I have set up 100 VLANs / Virtual Interfaces for test environments.
This means I have 100 rules areas in opnsense.

Every now and then, a work colleague needs the internet for a few hours for his VM. So I would like to allow you the internet for the rest of the day.

My idea was:

I wanted to write a C# application, via REST API.
The employee feels out a test environment/rule.
The employee enters a predefined valid IP.
The employee presses OK.
An Any rule is then created for the Internet.

I search once a day with a job for the marked rules and delete them again.

--

Apparently there is no API for rules right?

What mechanisms can I use to realise my idea?

Greetings Denis

Man ich liebe dich/euch. Danke
Genau das war das was ich benötige habe.

Ich glaube das ipSec Thema wird man nie auslehrnen.

Danke Danke danke

@mimugmail Hast du vielleicht eine Antwort für mich?

Hi,

ich habe einen IPSec Tunnel mit zwei Phase2 einträge.
Mein Ping von der Gegenstelle kommt immer vom selben rechner.
Pingt aber in zwei unterschiedliche Netze auf meiner opnSense seite.

Ping 10.251.1.4 --> Wird empfangen und die Antwort in den Richtigen Tunnel zurück gesendet.
Ping 10.40.231.2 --> Wird empfangen aber die Antwort wird in den anderen Tunnel zurück gesendet.
Siehe Bild im Anhang

Grundlegende Frage ist mein Vorhaben überhaupt möglich, wenn ich in beiden Phase 2 Einträgen das selbe Ferne Subnetz habe oder muss ich grundlegend anders vorgehen?

Gruß und danke für eure Tips

Wenn ich bei one 2 one NAT meine WAN schnisttstelle angebe, dann kann ich auch sehen, das die Quelle angepasst wird. (Siehe Bild)

Mein Problem ist scheinbar aktuell, dass die OpenSense von mir noch nicht verstanden hat, dass ich die anfragen an 192.168.62.0/24 an den ipSec Tunnel leiten will.

Hier noch ein Ping Bild ins WAN statt IPSEC

Hi,

Vorweg: Wenn ich mein Testaufbau ohne Adressübersetung (one-to-one NAT) einrichte, kann ich mein Ziel Client pingen.
Also 172.24.40.100 kann 10.10.30.104 pingen.
Der ipSec Tunnel ansich funktioniert und die Rechte passen soweit auch.

Nun möchte ich es aber via BINAT durchführen.
Grund dafür ist später ein aufbau, wo auf beiden Seiten die selben IP-Segmente exisiteren.

Ich habe mich dabei an dieser Anleitung orientiert:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Leider funktioniert es bei mir nicht wie erwartet. Die Phase 2 ist zwar scheinbar aufgebaut, aber ich bekomme kein Trafic wenn ich einen Ping auf die Adresse: 192.168.62.104 sende.

Das einzige was ich sehe ist, das mein Ping auf der Quell Firewall nicht auf ipsec sondern auf die WAN Schnittstelle geht. Ich habe den Ping auf der Quell Firewall auch auf ipsec als Ziel begrenzt, aber das hat auch nicht geholfen. Und auf der Lifeansicht der Quellfirewall kann ich keinen icmp Ping richtung ipsec sehen.

Meine Konfig befindet sich im Anhang

Vielen Dank für eure Tipps

Vielen Dank für die Beschreibung.

Das ist doch mal eine Schöne Beschreibung für den Info Text des Fragezeichens zu Quelle und Ziel. :)

Hi,

leider findet man alles andere mit Google. Und in der Doku finde ich es auch nicht.


Wenn ich eine Firewall Regel anlege, so kann ich bei Quelle und Ziel Netzwerk oder Adresse für meine Schnittstellen auswählen.

Welche Auswirkungen hat die auf meine Firewall Regel bzw. was ist der Unterschied bzw. die Bedeutung Netzwerk?

Danke für eure Info

[Aktueller Stand:]

Die Doku hat geholfen:

https://docs.opnsense.org/development/api.html

Der Key und Secret muss als HttpBasicAuthenticator genutzt werden.

Code Select Expand

client.Authenticator = new HttpBasicAuthenticator(consumerKey, consumerSecret);

So soll es scheinbar beim Postman funktionieren. (Erst mal Postman herunterladen. Das hatte ich schon mal für irgend eine API vor langer Zeit benutzt. :-)


Aktueller Stand:

Program.cs

Code Select Expand


        static void Main()
        {
            Application.EnableVisualStyles();
            Application.SetCompatibleTextRenderingDefault(false);
           
            // SSL-Validierungsprüfung global für die gesamte Anwendung umgehen.
            // https://stackoverflow.com/questions/10397736/restsharp-ignore-ssl-errors
            ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

            Application.Run(new Form1());
        }


Form.cs

Code Select Expand



        private void Test_Click(object sender, EventArgs e)
        {

            // SSL-Validierungsprüfung wird in der Program.cs umgangen
            var client = new RestClient(@"https://FirewallNameOderIP:8443/");
           
            string consumerKey = "Mein Key";
            string consumerSecret = "Mein Secret";

            client.Authenticator = new HttpBasicAuthenticator(consumerKey, consumerSecret);

            var request = new RestRequest(@"api/core/firmware/status", Method.Get);
           
            var queryResult = client.ExecuteGetAsync<Object>(request).Result;
            string json = JsonConvert.SerializeObject(queryResult);
            //System.IO.File.WriteAllText(@"C:\...\path.json", json);
        }