Messages

1

German - Deutsch / Re: IPSec gegen LTE Router

« on: July 15, 2024, 02:35:40 pm »

Das "Ferne Gateway" kann IMHO bei mehreren Verbindungen "0.0.0.0" sein. Die Verbindungen müssen unterschiedliche "Peer Identifier" haben. Die IP-Adresse geht da dann nicht, aber man kann z.B. unterschiedliche E-Mail-Adressen nehmen. Die Mailadresse muss dafür nicht zwingend existieren.

2

German - Deutsch / Re: IPSec gegen LTE Router

« on: July 13, 2024, 11:10:08 am »

Wie bekomme ich sowas trotzdem ans laufen? Bei der vorher genutzten Bintec war einfach die Hostadresse der Gegenstelle leer und die Verbindungen wurden efolgreich aufgebaut, nur das erlaubt ja die OPNsense nicht...

Man kann die Hostadresse auf der OPNsense auf 0.0.0.0 setzen.

Der Verbindungsaufbau sollte dann vom LTE-Router aus in Richtung OPNsense erfolgen.

3

Hardware and Performance / Re: Router or openwrt?

« on: June 24, 2024, 05:09:22 pm »

Running a WIFI Accesspoint on PC hardware sounds not very energy-efficient for me.
I would buy one or more (depending on the size of the location) real accesspoints (not routers), eg. Ubiquiti and a PoE-and VLAN-capable switch. If you already have a proxmox host you could easily run an Unifi controller.

4

Web Proxy Filtering and Caching / Re: No categories available after Download ACLs

« on: November 23, 2023, 12:50:23 pm »

Same problem here!

I configured https://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz as Remote ACL. Testing this URL in the browser works perfectly, but "Download ACL" fails: After downloading no categories are selectable.

I did some further investigation: SSH to opnsense and start the python script on the shell:

Code: [Select]

root@opnsense:~ # python3 /usr/local/opnsense/scripts/proxy/fetchACLs.py
Traceback (most recent call last):
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 444, in _error_catcher
    yield
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 567, in read
    data = self._fp_read(amt) if not fp_closed else b""
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 533, in _fp_read
    return self._fp.read(amt) if amt is not None else self._fp.read()
  File "/usr/local/lib/python3.9/http/client.py", line 463, in read
    n = self.readinto(b)
  File "/usr/local/lib/python3.9/http/client.py", line 507, in readinto
    n = self.fp.readinto(b)
  File "/usr/local/lib/python3.9/socket.py", line 704, in readinto
    return self._sock.recv_into(b)
  File "/usr/local/lib/python3.9/ssl.py", line 1275, in recv_into
    return self.read(nbytes, buffer)
  File "/usr/local/lib/python3.9/ssl.py", line 1133, in read
    return self._sslobj.read(len, buffer)
socket.timeout: The read operation timed out

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 381, in <module>
    main()
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 325, in main
    for filename, basefilename, file_ext, line in acl.download():
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 153, in download
    self.fetch()
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 88, in fetch
    data = req.raw.read(10240)
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 593, in read
    raise IncompleteRead(self._fp_bytes_read, self.length_remaining)
  File "/usr/local/lib/python3.9/contextlib.py", line 137, in __exit__
    self.gen.throw(typ, value, traceback)
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 449, in _error_catcher
    raise ReadTimeoutError(self._pool, None, "Read timed out.")
urllib3.exceptions.ReadTimeoutError: HTTPSConnectionPool(host='dsi.ut-capitole.fr', port=443): Read timed out.

Internet connectivity is VDSL 100 from German Telekom, the script ran several minutes before throwing this error above. Downloading the file in a browser takes only a few seconds (27 MB). So I believe there must be a bug in the Download Remote ACL section...

I also had a look at the internet traffic (tcpdump on WAN, limited to host IP "dst.ut-capitale.fr"). While running the python script there was constantly traffic from that IP. A lot of incoming TCP packets which all got ACKed.

Any ideas?

5

23.7 Legacy Series / Re: 23.7.8 - Squid 6.4 unusable due to repeated crashes

« on: November 10, 2023, 11:20:08 am »

FYI: Same error here.

6

German - Deutsch / Re: IPsec traffic Webproxy

« on: October 18, 2023, 03:05:42 pm »

Schuss ins Blaue: Hast Du die Tunnelnetze und/oder dein Heimnetz im Webproxy unter "Erlaubte Subnetze" eingetragen?

7

German - Deutsch / Re: pihole auf einem anderem Server betreiben?

« on: September 05, 2023, 10:55:52 am »

Ist das womöglich eine Windows Active Directory Domäne? Diese Infrastruktur ist stark DNS-lastig. Unter diesen Bedingungen würde ich den DNS-Dienst auf der Windows-Büchse belassen und den Pihole als Upstream-DNS-Server im Windows-DNS eintragen.

8

23.1 Legacy Series / Re: Print over the vpn

« on: August 01, 2023, 06:01:46 pm »

If snmp does not help you should analyze the traffic with tcpdump and/or wireshark.

9

23.1 Legacy Series / Re: Print over the vpn

« on: July 30, 2023, 09:08:23 pm »

Printer drivers often try to get the status of the printer via SNMP (UDP/161). So you could try to allow this protocol.

10

German - Deutsch / Re: OPNsense auf Lancom 1783 VA installieren

« on: July 04, 2023, 10:37:25 am »

Ein Lancom 1783VA hat eine Freescale P1014E CPU, also keine Intel oder ARM Architektur. Dürfte daher nicht machbar sein.

11

German - Deutsch / Re: IPsec OPNsense und Lancom hinter einer Fbox

« on: April 21, 2023, 09:55:32 am »

tcpdump und Lancom VPN-Trace wären an dieser Stelle auch meine Empfehlung. Du kannst auch gerne die Lancom Trace-Ausgabe posten, ggf. anonymisiert.

12

German - Deutsch / Re: IPsec OPNsense und Lancom hinter einer Fbox

« on: April 17, 2023, 10:13:36 am »

IKEv2 zwischen Lancom und OPNsense funktioniert prinzipiell, das hatte ich schon einmal am Laufen. Bei deiner Situation "Lancom hinter Fritzbox" würde ich den Lancom die Verbindung aufbauen lassen. Also Haltezeit der Verbindung = 9999.

Den Verbindungsaufbau am Lancom kann man per SSH tracen: "trace # vpn-status" schaltet das Tracen ein und auch (bei erneuter Eingabe) wieder aus. Der VPN-Log in der Sense für die andere Seite dürfte klar sein?

13

German - Deutsch / Re: IPsec OPNsense und Lancom hinter einer Fbox

« on: April 15, 2023, 08:12:22 pm »

Ist das verwendete IPSEC-Protokoll auf beiden Seiten identisch (IKEv1 oder IKEv2)?
Die Verschlüsselung (Algo, Schlüssellänge, DH-Gruppe, HMAC, Aggressive oder Main Mode, ...) müssen auf beiden Seiten matchen.
Die Richtung des Verbindungsaufbaus sollte aufeinander abgestimmt sein. Einer sollte auf die eingehende Verbindung warten, der andere sollte sie initiieren. Beim Lancom ist das die Haltezeit der Verbindung: 0 Sekunden = Warten auf eingehende Verbindung, 9999 Sekunden = Verbindung wird vom Lancom aufgebaut.
Hast du feste oder dynamische IPs? Oder eine Seite fest und die andere dynamisch?

14

23.1 Legacy Series / Re: TOTP broken

« on: March 24, 2023, 12:43:18 pm »

Is the server clock running with exact time?

15

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 22, 2023, 11:18:47 am »

Die Fritzbox-Gegenstelle hat eine dynamische IP, daher das Aggressive. Prinzipiell hast Du natürlich recht, dass man das eigentlich nicht mehr will.

Ich lauere schon auf das FritzOS 7.50 für die FB7490. Dann fliegt IPSEC zugunsten von Wireguard raus.