Messages

Moin, Moin,

jetzt muss ich mal hier nachfragen. Alle 3 Monate das gleiche Spiel. Ich versuche die exportierten Zertifikate aus der Opensense in die Synology zu importieren, Leider scheite ich komplett. Wenn ich das Zertifikat importiert habe, sagt mir die Smartphone-App trotz dem, dass mein Zertifikat nicht in Ordnung ist:



gleiches sagt auch die Desktop-App.

Frage: Kann man jemand für ganz blöde erklären, wie ich diese Zertifikate richtig exportieren und vor allem woher zum Geier noch mal bekomme ich das Zertifikat für dieses "Zwischenzertifikat"???? Ich blicke hier kein Stück durch und habe im vierteljahres rhythmus immer wieder das gleiche Problem. Bei dem vielen basteln, weiß ich letzt auch gar nicht mehr, welcher Schritt nun wirklich zum Erfolg geführt hat.

Ich hoffe, mir kann hier jemand weiter helfen

Moin, Moin,

jetzt muss ich mal fragen denn ich drehe mich im Kreis.

Beim einrichten in der OPNsense wird eine "Geräte ID" und ein "Device Name" gefordert. Wo zum Geier noch mal bekomme ich den her? Also ich "spiele" jetzt schon das ganze Wochenende rum und versuche in der Synology derartige Angaben zu finden oder generieren aber ich finde noch nicht mal im Ansatz etwas. Ich nutze die 2FA und selbst wenn ich einen neuen User einrichte, welcher ausschließlich für die Zertifikatsgeschichte zu ständig ist, habe ich nur die Möglichkeiten:

1.) Anmeldegenehmigung = Das läuft aber auf einen QR-Code und eine App hinaus. Das kann es also nicht sein.
2.) Verifikation code (OTP) = Auch das läuft aufs gleiche hinaus und erfordert eine App
3.) Hardware-Sicherheitsschlüssel = hier will die Synology einen USB-Stick oder Windows Hello. Das kann es also auch nicht sein.

Frage: Kann mir jemand sagen, wie ich hier vorgehen muss und hat möglicherweise eine Anleitung für blöde?

Danke und Gruß

[Ich hätte nun dazuschreiben können...]

Ich hätte nun dazuschreiben können, dass ich selfhost nicht nutze aber dafür Produkt ABC. Hätte das geholfen? Nö.

Ähmmmm.... die Aussage verstehe ich nicht ganz. Du scheinst dich ja angesprochen zu fühlen aber wenn du eben schreibst "Ich hätte nun dazuschreiben können..." wo dazuschreiben? Der einzige, der geantwortet hatte, war doch Florian...Es soll sich ja auch keiner beteiligen, der die Lösung nicht kennt. Maximal wenn man das gleiche Problem hat. Ich denke, du fühlst dich hier zu unrecht persönlich angegriffen.

Ich habe einen Dienstleister gebeten, sich das ganze mal anzuschauen. Der hat mich angeschaut, als wäre ich nen Außerirdischer. Der hatte das in einer Minute eingestellt und löste ein sehr großes Missverständnis bei mir auf. Das schlimme dabei: Ich bin ein Verfechter von Open Source und begründe dies immer mit einer großen Community und schneller Hilfe bei Problemen. Wir haben im Unternehmen eine Clavister und die Admins müssen immer wieder den Support in Schweden in Anspruch nehmen weil es dafür nicht mal eben ne Community gibt.

Moin Florian,

doch, es funktioniert. Leider scheinen einige ihr Wissen aber hier lieber für sich zu behalten, denn ich denke schon, dass der eine oder andere hätte helfen können. Hier meine Einstellungen, die funktionieren:

[DIENSTE: DYNAMIC DNS (LEGACY)]

Moin, Moin,

ich nutze einen DynDNS-Account bei selfHost. Jetzt habe ich schon mehrfach versucht, auf os-ddclient umzustellen,- leider funktioniert das nicht. Hier mal die Einstellungen vom

DIENSTE: DYNAMIC DNS (LEGACY) und vom DIENSTE: DYNAMISCHES DNS

kann mir jemand sagen, welche Einstellungen ich beim os-ddclient vornehmen muss damit es funktioniert?

Danke und Gruß aus Hamburg

[Jetzt mein Fehler:]

Moin, Moin,

auch auf die Gefahr, dass ich jetzt richtig doof dastehe, möchte ich doch kurz die Lösung posten.

Im Grunde genommen war es absolut einfach. Auf der alten Firewall die Einstellungen sichern. Zusätzlich die  zenarmor-Einstellungen sichern.

Jetzt mein Fehler:

in der Config-Datei müssen die Interfaces-Namen geändert werden. In meinem Fall hieß das alte Interface em0 und musste in ue0 geändert werden. Dabei hilft natürlich die Funktion "Suchen & Ersetzen". Eine ganz dumme Idee ist dann aber zu sagen "alle ersetzen"!! In meinem Fall fand sich em0 noch an anderer Stelle wieder! Zack... schon kann das gar nicht funktionieren

Moin, Moin,

ich habe vor einiger Zeit schon mal versucht, meine alte OPNsense auf neue Hardware umzuziehen. In der exportierten Config habe ich immer die Interfaces geändert weil sich die unterschieden und danach funktionierten die Zertifikate des ACME (Let's Encrypt) - Clients nicht mehr. Ich konnte die auch nicht erneuern. Ich nutze jeweils immer die aktuellste OPNsense-version.

Frage,- gibt´s irgend wo ne Anleitung für doofe, wie man so einen Hardwarewechsel vollzieht?

Danke und Gruß aus Hamburg

Ansonsten ist mir an den mitgeschickten Fotos aufgefallen, das NAT-T nur auf der OPNsense aktiviert ist.

was müsste ich denn in der Config der FritzBox eintragen? Ich habe die Configs ja verglichen und die sind eigentlich alle drei identisch (Bis auf natürlich die URL´s)

die Fehlermeldung bedeutet IKE-Error 0x2026 "no proposal chosen".

Ja,- das sagt ja die FritzBox schon,- eine Brauchbare Fehlermeldung wäre mir aber lieber.

Ich gehe davon aus, du willst deine FB6490 durch die FB6660 ersetzen.
Hierzu empfiehlt sich die Konfiguration (FB6660) über die integrierte Seite der Fritzbox unter
INTERNET > FREIGABEN > VPN und dort die LAN-LAN-KUPPLUNG auswählen. Ist der schnellste Weg.

Nein,- das möchte ich nicht. Die FritzBox 6660 Cable ist eine weitere Zusätzliche Box. Wie gesagt,- die Einstellungen sind ja augenscheinlich mit den bisherigen der anderen Boxen identisch. "no proposal chosen" ist aber schlichtweg nix, mit dem ich was anfangen kann um dem Fehler auf die Spur zu kommen.

Moin, Moin,

jetzt muss ich hier mal nachfragen, da ich nicht weiter komme.

Ich habe bisher 2 Fritz-Boxen via VPN zu meiner OPNsense verbunden. Nun kommt eine weitere dazu und das klappt einfach nicht. Die FritzBox bringt den Fehler:



Dieser Fehler bringt mich so gar nicht weiter. Meine Config für die FritzBox schaut wie bei den anderen beiden Boxen aus:

Code Select Expand

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "VPN_Hamburg";
                always_renew = yes;
                reject_not_encrypted = no; 
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "22zjkhtgrefekva8u.myfritz.net";
                keepalive_ip = 192.168.0.1;
                localid {
                        fqdn = "ypjixlqkgewq94rxm.myfritz.net";
                }
                remoteid {
                        fqdn = "22zjkhtgrefekva8u.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha"; 
                keytype = connkeytype_pre_shared;
                key = "0pk9q45dadsgazuksizic"; 
                cert_do_server_auth = no;
                use_nat_t = no; 
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.22.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

In der OPNsense habe ich einfach die bestehenden Einträge geklont. Bisher hat es noch nicht mal ansatzweise eine Verbindung gegeben.

1. FritzBox 7590 (Am Telekom-Anschluss)
2. FritzBox 6490 Cable (Am Vodafone-Anschluss mit IPv4)
3. und neue FritzBox 6660 Cable ebenfalls am Vodafone-Kabel-Anschluss mit IPv4

Hier die Einstellung in der OPNsense:





Frage: Hat jemand ne Idee,- wie ich das gnaze zum laufen bekomme?

Danke und Gruß aus Hamburg

https://forum.opnsense.org/index.php?topic=18865.msg86224#msg86224

Ich habe den Link 1:1 befolgt und umgesetzt. Genau das ist offensichtlich auch die Lösung. DANKE!!!!!!

Also jetzt muss ich doch noch mal nachfragen: Ist mein Problem wirklich so exotisch? Setzt keiner Monit ein oder ist meine Frage wirklich so daneben, dass keiner Helfen möchte? Ich suche doch "nur" nach einer Möglichkeit, die Firewall neu zu starten, wenn das Gateway offline ist. Firewall ist nicht so mein Ding und mit Linux kenne ich mich auch nicht sonderlich aus. Dennoch denke ich, dass es mit Hilfe möglich wäre, mein Vorhaben umzusetzen.

aber warum kaufst du dir nicht ein neues system (z.b. von nrg systems)

Na ja, weil erst mal "ein wenig" Geld kostet. Wenn das so problemlos wäre, hätte ich schon längst neue Hardware :-)

Moin, Moin,

ich habe nach wie vor das Problem, dass aufgrund schlechter Hardware, das Gateway unregelmäßig abstürzt. Hier hilft wirklich nur noch ein reboot der Firewall. Nun Suche ich nach einer Möglichkeit, das Gateway zu überwachen und sollte es länger als 30 Sekunden offline sein, soll die Firewall neu gestartet werden.

Nun habe ich mir Monit angeschaut, blicke aber nicht wirklich durch. Da ich mich mit Linux nicht so gut auskenne, möchte ich nicht ohne Hirn und Verstand Windows-Like etwas zusammenklicken, was mein Problem womöglich noch verschlimmert.

Frage: Kann mir jemand sagen, wie ich das bewerkstelligen kann?

Danke und Gruß aus Hamburg

Moin, Moin,

so, jetzt hab ich das einige Zeit beobachtet und auch den Netzwerkadapter gewechselt. Es schaut so aus, dass irgend wann die WAN-Schnittstelle aussteigt. Sie wird dann als Offline angezeigt. Ich denke es liegt an der Hardware, welche ich damals notgedrungen beschaffen musste. Bis ich neue Hardware habe, brauche ich nun eine Notlösung.

Frage: Wie kann ich die WAN-Schnittstelle einfach überwachen und gegebenenfalls die Firewall neu starten lassen? Eventuell würde es ja reichen, den Netzwerkdienst neu zu starten,- die Idee kam mir aber bisher immer erst nachdem ich die Firewall neu gestartet habe :-)

Danke und Gruß aus Hamburg