Messages

Hallo,

ich versuche gerade die legacys OPNs in Instances zu migrieren.
Leider passt das Routing nun nicht mehr - zuvor wurde der IPv4 local Network traffic über die WAN Schnittstelle an meine Firewall gesendet um von hier aus die ganzen weiteren Netze (auch entfernte) weiterleiten zu können.

In Instances, wird der traffic nun über meine LAN Schnittstelle gesendet - dort habe ich jedoch keine Möglichkeit zu routen.
Ich vermute, dass dies an der Funktion Interface lag, die in legacy vorhanden war und Instances jedoch nicht mehr.

Wie kann ich diese Funktion nun umter den Instances addressieren? Ich habe bereits mit Bind address probiert, leider ist dann die Clienteinwahl nicht mehr möglich.

Besten dank für euren Input.

Grüße Thorsten

Hallo,

das Thema ist bei mir etwas nach hinten gerutscht. Sorry dass ich es jetzt nochmal ausgrabe.
Mir ist hierzu noch eine Frage eingefallen.

Das Grundproblem war ja, dass OpenVPN sehr langsam ist - könnte das "Speedlimit" nicht mit mehr CPU Power gelöst werden oder habe ich ein Denkfehler?
Aktuell ist die angezeigte Auslastung des Servers in der OPNsens Oberfläche bei max. 10%, was auch grob der Physikalischen Auslastung enspricht. Die Phyiskalische Auslastung war in den letzten 30 Tagen bei maximal 12%.

Vielen Dank, vielleicht kann mir das ja jemand beantwortet - ich stecke da momentan gedanklich bei "mehr CPU = mehr Speed" fest.


Viele Grüße

Thorsten

Warum lässt du die Firewall nicht direkt auf dem Blech laufen, könnte mir vorstellen das es performanter ist?

Das ist so eine Strategie Geschichte. Ich habe einen Proxmox Cluster im internen Netz laufen.
Sollte mein DMZ Proxmox Hardwareseitig abrauchen, könnte ich einen Server aus dem Cluster schnell in die DMZ umziehen, das Image restoren und wäre innerhalb von 30 Minuten wieder am Start. Im generellen habe ich jedoch die Erfahrung gemacht, dass Linux Kisten auf Proxmox sehr performant sind und nur wenig CPU Last im Overhead untergeht.

VG Thorsten

Bitte bei der Promox OPNsense VM auch prüfen ob die virtuellen Netzwerkadapter vitio sind und ob diese VM im Modus Host angelegt ist.

Die Karten sind auf jedenfall virtio - auf das Thema bin ich kurz vor dem Corona Lockdown gestoßen.
Ohne Virtio war ich auf 30-40mbit. Host Mode sollte der Fall sein - prüfe ich am Montag nochmal sicherheitshalber. Bin schon im WE 😃

Danke für die Tips.

oh, das hätte ich tatsächlich jetzt als letztes als Möglichkeit in Betracht gezogen.
Danke für die Info - da muss ich wohl ein paar Gedanken machen das ganze ggf. auf IPSec zu migrieren.

Ich habe mir den IPSec Partim Detail noch nicht angesehen.
Ist es bei diesem auch möglich mehrere "virituelle" Server ähnlich den "Servers" unter OpenVPN abzubilden?
Derzeit lasse ich davon mehere laufen um verschiedenen Nutzern verschiedene Subnetze auf einfache Art zuzuweisen. Auf die schnelle viel mir kein entsprechender Menüpunkt auf.

VG und schönes WE

Ich nutze OpenVPN als ClientVPN.

Hallo,

ich betreibe eine OPN Sense um hierüber Client VPN Verbindung herstellen zu können.
Das System läuft auf einem Proxmox, die Hardware wiederrum ist ein Dell Server.
Alle physikalischen Netzwerkkarten, Switchports sowie virituellen Proxmox Bridges laufen auf 1Gbit.

Die OPN Sense besitzt 2 Verbindungen, eine in die DMZ (Cisco Firepower 21er Serie mit 1Gbit LAN) und eine weitere Verbindung geht in das interne LAN. Meine WAN Verbindung kann 300/300Mbit.

Leider ist es mir nicht möglich über die OPNSense Client VPN Verbindungen in der Summer schneller als 100MBit/s laufen zu lassen. Es ist an dieser Stelle wie festgenagelt. Ich kann keinen Konfig Fehler finden und frage mich, ob vielleicht schon andere ein solches Problem hatten.


VG Thorsten

For anybody else in future having this kind of problem - I found 2 solutions.
1. I´m using a Windows certificate autority inside my network. In all Infos I found in the web, there was single information missing. The one and only thing you need to do (if you Microsoft Authority is up and running), is to put you internal public CA certificate into system -> trust -> authority (only data field needed). Make a reboot of opensense and it will work (in my case).
2. solution, use the HA-Bridge, I found a very simple instruction and it is working exactly how its written in this documentation:
https://www.routerperformance.net/opnsense-bypass-ldaps-errors-via-haproxy/

I`m still working on this Problem, depeding to the situation, that Microsoft will stop LDAP without SSL in future.

I have also tested now to add the certificate of my ldap Server to:
to system->trust-> certificate
but no effect.

Is there maybe a possibility to deactivate the check of the certificate and oly accept it.

I found in older versions by using Google, comments, that I have to add the certificate as the peer certificate of the ldap Server. On Version 20.1 it seams this function is not available anymore - could that be the Problem?

Thank you very much.

Hello,

I`m having trouble to connect to my Active Directory with LDAP over SSL on Port 636:

opnsense: LDAP bind error [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (unable to get local issuer certificate),Can't contact LDAP server]

I was copying the certificate given by
openssl s_client -connect ad.domain.intern:636 -showcerts

to system->trust->authorities-> add -> certificate data

Still the same problem. After hours of googling and testing, I do not have any further ideas where the problem comes from.

My used Version is 20.1.3

Any help would be appreciated.

Best regards, Thorsten