1
24.1 Legacy Series / Re: Wireguard missing since update
« on: February 03, 2024, 09:27:01 am »
Thanks a lot!
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1] 2
2
24.1 Legacy Series / Wireguard missing since update
« on: February 02, 2024, 04:56:40 pm »
Hi there,
after doing the Update my OpnSense is missing wireguard.
In Firmware -> Plugins it is shown as "missing".
At the end of the Line there are two Icons "i" and "+". If I click the "+" for installing the package again it is not found:
Any hints?
after doing the Update my OpnSense is missing wireguard.
In Firmware -> Plugins it is shown as "missing".
Quote
os-wireguard (missing) N/A N/A N/A N/A N/A
At the end of the Line there are two Icons "i" and "+". If I click the "+" for installing the package again it is not found:
Quote
***GOT REQUEST TO INSTALL***
Currently running OPNsense 24.1_1 at Fri Feb 2 16:55:50 CET 2024
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
pkg: No packages available to install matching 'os-wireguard' have been found in the repositories
Checking integrity... done (0 conflicting)
Nothing to do.
***DONE***
Any hints?
3
German - Deutsch / Suricata Regel alarmiert trotz Deaktivierung
« on: December 11, 2023, 05:16:39 pm »
Hallo zusammen,
ich habe bei mit Suricata laufen und erhalte durch einen Windowsrechner dauernd "ET SHELLCODE Common 0a0a0a0a Heap Spray String"-Meldungen. Da ich mir die Meldungen per Mail senden lasse und die alle paar Minuten kommen ist das sehr nervig.
Wie mal liest handelt es sich dabei wohl um eine Regel die zu False Positives neigt und anscheinend gerade mit Windows-Updates gerne mal fälschlicherweise anschlägt. Da es auch kein konkretes Angriffspattern ist, sondern eben Heap Spraying würde ich die Regel gerne deaktivieren.
So habe ich die Regel nun unter "Rules" deaktiviert und auch Suricata neu gestartet. Leider bekomme ich dennoch, sobald der Windows-Rechner läuft, die Meldungen vom System.
Kann mir jemand einen Stoß geben, was ich hier so grundlegend falsch mache? Ich hatte ich in der Vergangenheit schon andere Meldungen deaktiviert (z.B. .cc-Domains, da ich gerne dict.cc nutze), was da immer funktionierte.
Vielen Dank
ich habe bei mit Suricata laufen und erhalte durch einen Windowsrechner dauernd "ET SHELLCODE Common 0a0a0a0a Heap Spray String"-Meldungen. Da ich mir die Meldungen per Mail senden lasse und die alle paar Minuten kommen ist das sehr nervig.
Wie mal liest handelt es sich dabei wohl um eine Regel die zu False Positives neigt und anscheinend gerade mit Windows-Updates gerne mal fälschlicherweise anschlägt. Da es auch kein konkretes Angriffspattern ist, sondern eben Heap Spraying würde ich die Regel gerne deaktivieren.
So habe ich die Regel nun unter "Rules" deaktiviert und auch Suricata neu gestartet. Leider bekomme ich dennoch, sobald der Windows-Rechner läuft, die Meldungen vom System.
Kann mir jemand einen Stoß geben, was ich hier so grundlegend falsch mache? Ich hatte ich in der Vergangenheit schon andere Meldungen deaktiviert (z.B. .cc-Domains, da ich gerne dict.cc nutze), was da immer funktionierte.
Vielen Dank
4
German - Deutsch / Re: OpnSense als Mailrelay [gelöst]
« on: December 03, 2023, 10:42:30 am »
Der Aufwand den Postfix zu betreiben um alle Systeme im internen Netz auf einem einheitlichen Weg mit Mailanbindung zu versorgen.
Der Aufwand Container mir OpenSMTPd aufzusetzen um eine Kamera an diesen Standardisierten Weg anzubinen? Ja.
Wäre der Weg den Du beschreibst einfacher? Evtl. ja, aber es ist nunmal nicht der Weg den ich angestrebt habe. Zumal ich auch gewissen akademischen Antrieb hatte das so umzusetzen und keine Abkürzung zu nehmen.
Grüße
Der Aufwand Container mir OpenSMTPd aufzusetzen um eine Kamera an diesen Standardisierten Weg anzubinen? Ja.
Wäre der Weg den Du beschreibst einfacher? Evtl. ja, aber es ist nunmal nicht der Weg den ich angestrebt habe. Zumal ich auch gewissen akademischen Antrieb hatte das so umzusetzen und keine Abkürzung zu nehmen.
Grüße
5
German - Deutsch / Re: OpnSense als Mailrelay [Gelöst]
« on: December 01, 2023, 08:09:20 am »
Vielen Dank nochmal für eure Hilfe!
Ich habe die Relay-Thematik in den Griff bekommen und das funktioniert nun. Danke. Ich weiß am Ende nicht genau was der springende Punkte war, aber ich glaube es hing damit zu sammen, dass ich den fqdn in eckige Klammern gepackt habe.
Die Authentifizierungs-Thematik konnte ich hierüber nicht umsetzen. Ich habe dafür einen Linux-Container hergenommen der mittels OpenSMTPd und Authentifizierung die Mails annimmt, an die OpnSense weitergibt, und die gibt sie dann an Posteo.
OpenSMTPd weil mir der doch deutlich sympathischer ist, eine klare und einfache Syntax hat und für mich schneller umzusetzen war.
Hier nochmal meine Zusammenfassung, sollte es später für jmd interessant sein:
Das Plugin `os-postfix` muss installiert werden. Nach einem refresh der
GUI ist der entsprechende Menüpunkt unter Services vorhanden.
Es wird zunächst ein neues internes Server-Zertifikat erstellt! (System -> Trust -> Certificates)
Anpassen der Postfix-Config:
* enable: <aktivieren>
* System Hostname: <Eigener Domainname, z.B. mail.meinedomain.de>
* IP Version: IP4
* Trusted Networks: <Die Netze und/oder Hosts die den Relay nutzen>
* Masquerade Domains: <entsprechend z.B. meinedomain.de>
* Server Certificate: <das erzeugte Zertifikat>
* Root CA: <Die CA des Zertifikats>
* SMTP Client Security: encrypt
* Smart Host: [posteo.de]:587
* Enable SMTP Authentication: <aktivieren>
* Authentication Username: <Die Mailadresse des Posteo-Kontos>
* Authentication Password: <Passwort des Accounts>
* Reject Unknown Sender Domain: <deaktivieren>
* Reject Unknown Recipient Domain: <deaktivieren>
* Permit SASL Authenticated: <deaktivieren>
* Permit TLS Client Certificate Authenticated Users <deaktivieren>
Um später eine Mail von einem Service zu senden müssen folgende
Voraussetzungen erfüllt sein:
* Port 25/TCP vom Host auf die Firewall muss allowed sein
* Der Host muss im Postfix über die "Trusted Networks" abgedeckt sein.
Hier können ganze Netze (z.B. /24) oder einzelne Hosts (/32) angegeben
werden
* in der sendenden Applikation:
* Port 25
* Adresse der Sense im jeweiligen Netzwerk
* Authentifizierung deaktivieren
* STARTTLS
Viele Grüße
Ich habe die Relay-Thematik in den Griff bekommen und das funktioniert nun. Danke. Ich weiß am Ende nicht genau was der springende Punkte war, aber ich glaube es hing damit zu sammen, dass ich den fqdn in eckige Klammern gepackt habe.
Die Authentifizierungs-Thematik konnte ich hierüber nicht umsetzen. Ich habe dafür einen Linux-Container hergenommen der mittels OpenSMTPd und Authentifizierung die Mails annimmt, an die OpnSense weitergibt, und die gibt sie dann an Posteo.
OpenSMTPd weil mir der doch deutlich sympathischer ist, eine klare und einfache Syntax hat und für mich schneller umzusetzen war.
Hier nochmal meine Zusammenfassung, sollte es später für jmd interessant sein:
Das Plugin `os-postfix` muss installiert werden. Nach einem refresh der
GUI ist der entsprechende Menüpunkt unter Services vorhanden.
Es wird zunächst ein neues internes Server-Zertifikat erstellt! (System -> Trust -> Certificates)
Anpassen der Postfix-Config:
* enable: <aktivieren>
* System Hostname: <Eigener Domainname, z.B. mail.meinedomain.de>
* IP Version: IP4
* Trusted Networks: <Die Netze und/oder Hosts die den Relay nutzen>
* Masquerade Domains: <entsprechend z.B. meinedomain.de>
* Server Certificate: <das erzeugte Zertifikat>
* Root CA: <Die CA des Zertifikats>
* SMTP Client Security: encrypt
* Smart Host: [posteo.de]:587
* Enable SMTP Authentication: <aktivieren>
* Authentication Username: <Die Mailadresse des Posteo-Kontos>
* Authentication Password: <Passwort des Accounts>
* Reject Unknown Sender Domain: <deaktivieren>
* Reject Unknown Recipient Domain: <deaktivieren>
* Permit SASL Authenticated: <deaktivieren>
* Permit TLS Client Certificate Authenticated Users <deaktivieren>
Um später eine Mail von einem Service zu senden müssen folgende
Voraussetzungen erfüllt sein:
* Port 25/TCP vom Host auf die Firewall muss allowed sein
* Der Host muss im Postfix über die "Trusted Networks" abgedeckt sein.
Hier können ganze Netze (z.B. /24) oder einzelne Hosts (/32) angegeben
werden
* in der sendenden Applikation:
* Port 25
* Adresse der Sense im jeweiligen Netzwerk
* Authentifizierung deaktivieren
* STARTTLS
Viele Grüße
6
German - Deutsch / Re: OpnSense als Mailrelay
« on: November 28, 2023, 08:32:25 am »Also bei der lokalen Geschichte kann ich dir nicht helfen, weil ich genau das nicht will. Ich benutze den Postfix als Relay für meine ganzen Systemnachrichten hier. Isoliertes privates Netz, und das NAS, die USV, etc. pp. sollen da einfach die Mail abkippen.
Die geht dann authentifiziert über meinen Provider raus. Ich bastel mal einen hinreichend anonymisierten Screenshot. Bezgl. Posteo musst du dann leider selbst gucken.
Zwei Fragen hätte ich zu den Screenshots
1. Was steht in "Masquerade Domains"? Ist das dein Hostname der auch in "System Hostname" steht?
2. In welchem Format hast Du den Eintrag in "Smart Host" hinterlegt? Auch "Hostname:Port" ?
Ja ohne Authentifizierung ist im internen Netz natürlich schon praktisch und würde ich auch gerne so machen, wenn diese Reolink-Kameras nicht zwingend einen Benutzernamen und ein Passwort in der Oberfläche verlangen würden.
Vielen Dank.
7
German - Deutsch / Re: OpnSense als Mailrelay
« on: November 28, 2023, 08:24:54 am »
Also die Ports erreiche ich von der Sense aus, daran sollte es nicht hängen:
VIelen Dank nochmal für due Hilfe.
Code: [Select]
# telnet posteo.de 587
Trying 185.67.36.168...
Connected to posteo.de.
Escape character is '^]'.
220 submission01.posteo.de ESMTP Postfix
Code: [Select]
# telnet posteo.de 465
Trying 185.67.36.168...
Connected to posteo.de.
Escape character is '^]'.
VIelen Dank nochmal für due Hilfe.
8
German - Deutsch / Re: OpnSense als Mailrelay
« on: November 27, 2023, 09:43:27 pm »
Das funktioniert leider nicht. Das Log sagt folgendes.
Mir ist dann aufgefallen, dass ich den Port nicht angegeben habe und habe dann für den SmartHost noch den Port angegeben, also "Posteo:587", doch auch das funktioniert nicht und liefert mir:
Also dann noch ein Versuch über 465 (beide Ports bietet Posteo an, je nachdem ob STARTTLS oder normale TLS-Verbindung genutzt werden soll). Dafür muss ich dann noch bissl was umstellen: "requires setting "smtp_tls_wrappermode = yes", and "smtp_tls_security_level = encrypt" (or stronger)" sagt das Log.
Leider führt mich das auch wieder zu:
Aber abgesehen davon, ist das alles ohne Authentifizierung gegen einen Usernamen. Tatsächlich würde ich ja aber gerne gegen einen Usernamen (Mail-Adresse & Passwort) authentifizieren.
Code: [Select]
2023-11-27T21:31:41 Informational postfix/smtp 6F18A223D10: to=<XXXXX@XXXXXXXXX>, relay=mx01.posteo.de[185.67.36.61]:25, delay=0.64, delays=0.01/0/0.63/0, dsn=4.7.0, status=deferred (host mx01.posteo.de[185.67.36.61] refused to talk to me: 421 4.7.0 mx01.posteo.de Error: too many errors)
2023-11-27T21:31:40 Informational postfix/smtp 6F18A223D10: host mx04.posteo.de[185.67.36.64] refused to talk to me: 421 4.7.0 mx04.posteo.de Error: too many errors
2023-11-27T21:31:40 Informational postfix/smtp 6F18A223D10: host mx03.posteo.de[185.67.36.70] refused to talk to me: 421 4.7.0 mx03.posteo.de Error: too many errors
2023-11-27T21:31:40 Informational postfix/smtp 6F18A223D10: host mx01.posteo.de[185.67.36.62] refused to talk to me: 421 4.7.0 mx01.posteo.de Error: too many errors
2023-11-27T21:31:40 Informational postfix/smtp 6F18A223D10: host mx03.posteo.de[185.67.36.63] refused to talk to me: 421 4.7.0 mx03.posteo.de Error: too many errors
2023-11-27T21:31:40 Informational postfix/smtpd disconnect from unknown[10.10.99.102] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2023-11-27T21:31:40 Informational postfix/qmgr 6F18A223D10: from=<XXXX@XXXXXX>, size=666, nrcpt=1 (queue active)
2023-11-27T21:31:40 Informational postfix/cleanup 6F18A223D10: message-id=<f20ef58dbb60bfbcb35146d1ad6b31f3e66b5fd9.camel@XXXXXX.XX>
2023-11-27T21:31:40 Informational postfix/smtpd 6F18A223D10: client=unknown[10.10.99.102]
2023-11-27T21:31:40 Warning postfix/smtpd warning: permit_tls_clientcerts is requested, but "smtpd_tls_ask_ccert = no"
2023-11-27T21:31:40 Error postfix/smtpd OTP unavailable because can't read/write key database /etc/opiekeys: Permission denied
2023-11-27T21:31:40 Informational postfix/smtpd Anonymous TLS connection established from unknown[10.10.99.102]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (P-256) server-signature RSA-PSS (4096 bits) server-digest SHA256
2023-11-27T21:31:40 Informational postfix/smtpd connect from unknown[10.10.99.102]
Mir ist dann aufgefallen, dass ich den Port nicht angegeben habe und habe dann für den SmartHost noch den Port angegeben, also "Posteo:587", doch auch das funktioniert nicht und liefert mir:
Code: [Select]
connect to mx04.posteo.de[185.67.36.71]:587: Operation timed outAlso dann noch ein Versuch über 465 (beide Ports bietet Posteo an, je nachdem ob STARTTLS oder normale TLS-Verbindung genutzt werden soll). Dafür muss ich dann noch bissl was umstellen: "requires setting "smtp_tls_wrappermode = yes", and "smtp_tls_security_level = encrypt" (or stronger)" sagt das Log.
Leider führt mich das auch wieder zu:
Code: [Select]
connect to mx01.posteo.de[185.67.36.62]:465: Operation timed outAber abgesehen davon, ist das alles ohne Authentifizierung gegen einen Usernamen. Tatsächlich würde ich ja aber gerne gegen einen Usernamen (Mail-Adresse & Passwort) authentifizieren.
9
German - Deutsch / Re: OpnSense als Mailrelay
« on: November 27, 2023, 09:07:46 pm »
Vielen Dank für Deine schnelle Antwort.
Wenn ich das so einstelle, dann verlangt er eine Authentifizierung von mir. Aber mit dem Benutzername und dem Passwort das ich angelegt habe nimmt er es nicht an.
Ich hatte bisher meine Netzwerke in die Trusted Networks hinzugefügt, dann konnte ich ihne Authentifizierung versenden (aber genau das ist ja mein Problem im Moment)
Wenn ich das rausnehme geht es nicht.
Das Log sagt:
Wenn ich das so einstelle, dann verlangt er eine Authentifizierung von mir. Aber mit dem Benutzername und dem Passwort das ich angelegt habe nimmt er es nicht an.
Ich hatte bisher meine Netzwerke in die Trusted Networks hinzugefügt, dann konnte ich ihne Authentifizierung versenden (aber genau das ist ja mein Problem im Moment)
Wenn ich das rausnehme geht es nicht. Das Log sagt:
Code: [Select]
2023-11-27T21:06:10 Warning postfix/smtpd warning: unknown[10.10.99.102]: SASL PLAIN authentication failed: authentication failure
2023-11-27T21:06:10 Warning postfix/smtpd warning: SASL authentication failure: Password verification failed
2023-11-27T21:06:10 Error postfix/smtpd OTP unavailable because can't read/write key database /etc/opiekeys: Permission denied
2023-11-27T21:06:04 Warning postfix/smtpd warning: unknown[10.10.99.102]: SASL PLAIN authentication failed: authentication failure
2023-11-27T21:06:04 Warning postfix/smtpd warning: SASL authentication failure: Password verification failed
2023-11-27T21:06:04 Error postfix/smtpd OTP unavailable because can't read/write key database /etc/opiekeys: Permission denied
2023-11-27T21:06:04 Informational postfix/smtpd Anonymous TLS connection established from unknown[10.10.99.102]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (P-256) server-signature RSA-PSS (4096 bits) server-digest SHA256
2023-11-27T21:06:04 Informational postfix/smtpd connect from unknown[10.10.99.102]
10
German - Deutsch / OpnSense als Mailrelay [gelöst]
« on: November 27, 2023, 08:24:10 pm »
Hallo zusammen,
ich möchte gerne meine Sense als Mailrelay nutzen, so dass die Systeme im internen Netz Mails an die Sense senden können und diese die Mails dann über einen öffentlichen Mailserver versenden.
Hierzu gab es auch schonmal eine Unterhaltung mit dem Ergebnis, dass diese Funktion hinzugefügt wurde: https://forum.opnsense.org/index.php?topic=7538.0
Leider steht hier gar nicht dabei wie das nun umzusetzen ist.
Ich habe das Plugin os-postfix installiert und habe es so konfiguriert, dass ich nun ohne Authentifizierung Mails von internen VLients in die Welt senden kann.
Was mir jedoch fehlt ist eben eine Authentifizierung an der Sense. Ich habe einen neuen User angelegt, finde allerdings keine Option um hier ein sasl für den smtpd zu setzen.
Auch kann ich nicht über den Smartrelay (in meinem Fall posteo) senden, ich kann nur direkt von der Sense an den Zielserver zustellen (damit komme ich z.B. nicht auf gmail-Adressen).
Ich habe eine Reolink-IP-Kamera die Mails bei Bewegungserkennung versenden kann. Das Interface der Kamera verlangt allerdings zwingend die Angabe einer Mailadresse und eines Passworts zur Authentisierung. Lasse ich die Felder einfach leer, kann ich die Konfiguration nicht speichern da es Muss-Felder sind. Ich will die Kamera aber nicht direkt ins Internet lassen damit sie mit einem Mailserver reden kann. Daher würde ich auch hierfür gerne die Sense nutzen, aber brauche wohl eine Authentisierung.
Gibt es hier evtl. jemand der mir hier einen guten Tipp geben könnte?
ich möchte gerne meine Sense als Mailrelay nutzen, so dass die Systeme im internen Netz Mails an die Sense senden können und diese die Mails dann über einen öffentlichen Mailserver versenden.
Hierzu gab es auch schonmal eine Unterhaltung mit dem Ergebnis, dass diese Funktion hinzugefügt wurde: https://forum.opnsense.org/index.php?topic=7538.0
Leider steht hier gar nicht dabei wie das nun umzusetzen ist.
Ich habe das Plugin os-postfix installiert und habe es so konfiguriert, dass ich nun ohne Authentifizierung Mails von internen VLients in die Welt senden kann.
Was mir jedoch fehlt ist eben eine Authentifizierung an der Sense. Ich habe einen neuen User angelegt, finde allerdings keine Option um hier ein sasl für den smtpd zu setzen.
Auch kann ich nicht über den Smartrelay (in meinem Fall posteo) senden, ich kann nur direkt von der Sense an den Zielserver zustellen (damit komme ich z.B. nicht auf gmail-Adressen).
Ich habe eine Reolink-IP-Kamera die Mails bei Bewegungserkennung versenden kann. Das Interface der Kamera verlangt allerdings zwingend die Angabe einer Mailadresse und eines Passworts zur Authentisierung. Lasse ich die Felder einfach leer, kann ich die Konfiguration nicht speichern da es Muss-Felder sind. Ich will die Kamera aber nicht direkt ins Internet lassen damit sie mit einem Mailserver reden kann. Daher würde ich auch hierfür gerne die Sense nutzen, aber brauche wohl eine Authentisierung.
Gibt es hier evtl. jemand der mir hier einen guten Tipp geben könnte?
11
General Discussion / Re: UDP Broadcast Relay
« on: May 24, 2022, 10:42:34 am »
Hey there,
I already posted a thread in the german forum here (https://forum.opnsense.org/index.php?topic=28465.0) but I think this might be better placed here. I beg your pardon for the crosspost.
I use the plugin to transmit some multicast packets between my vlans. This is working great for normal vlans, but not for my OpenVPN. I connect some devices per OpenVPN. Those devices are in the OpenVPN network (10.10.0.0/24 in my case).
The plugin lets me select the networks to serve, but the OpenVPN-network is not listed, so I can't use it over vpn.
Does anyone have suggestions how to solve this issue?
Thanks alot
I already posted a thread in the german forum here (https://forum.opnsense.org/index.php?topic=28465.0) but I think this might be better placed here. I beg your pardon for the crosspost.
I use the plugin to transmit some multicast packets between my vlans. This is working great for normal vlans, but not for my OpenVPN. I connect some devices per OpenVPN. Those devices are in the OpenVPN network (10.10.0.0/24 in my case).
The plugin lets me select the networks to serve, but the OpenVPN-network is not listed, so I can't use it over vpn.
Does anyone have suggestions how to solve this issue?
Thanks alot
12
German - Deutsch / UDP Broadcast Relay mit OpenVPN
« on: May 22, 2022, 07:29:45 pm »
Hallo zusammen,
ich habe auf der Opnsense einen VPN aktiviert mit dem ich meine Mobilgeräte ins interne Netzwerk hole. Zusätzlich verwende ich "UDP Broadcast Relay" um Multicast-Messages (wie MDNS und SSDP) zwischen den VLANs zu verteilen. Das funktioniert auch grundsätzlich gut, nur kann ich es nicht für die Teilnehmer im VPN verwenden, da das VPN bei den Relay-Interfaces nicht zur Auswahl steht.
Das ist sehr schade, da ich damit einige Funktionen nicht nutzen kann, die ich gerne nutzen würde. Habt ihr da eine Idee für mich wie ich das noch umsetzen könnte?
Dankeschön!
ich habe auf der Opnsense einen VPN aktiviert mit dem ich meine Mobilgeräte ins interne Netzwerk hole. Zusätzlich verwende ich "UDP Broadcast Relay" um Multicast-Messages (wie MDNS und SSDP) zwischen den VLANs zu verteilen. Das funktioniert auch grundsätzlich gut, nur kann ich es nicht für die Teilnehmer im VPN verwenden, da das VPN bei den Relay-Interfaces nicht zur Auswahl steht.
Das ist sehr schade, da ich damit einige Funktionen nicht nutzen kann, die ich gerne nutzen würde. Habt ihr da eine Idee für mich wie ich das noch umsetzen könnte?
Dankeschön!
13
German - Deutsch / Re: mDNS über vlans funktioniert im WLAN nicht
« on: October 04, 2021, 05:31:27 pm »
Problem gelöst.... Leider habe ich es trotz mehrmaliger Kontrolle übersehen, dass ich die pf-Regel auf tcp geetzt hatte.
14
German - Deutsch / mDNS über vlans funktioniert im WLAN nicht
« on: October 03, 2021, 05:38:46 pm »
Hallo zusammen,
ich habe mein Netzwerk zu Hause angepasst und stolpere leider über ein sehr nerviges Problem bzgl. mDNS und hoffe ihr könnt mir auf die Sprünge helfen.
Ich habe einen Raspberry im Netzwerk der mittels Raspotify als "Spotify-Connect" Lautsprecher Musik abspielen soll. Gesteuert wird das Ganze über die Spotify-App die entweder auf dem Smartphone oder auf dem Notebook läuft. Alle Geräte befinden sich in unterschiedlichen vlans. Spotify benötigt mDNS um den Lautsprecher zu finden. Leider funktioniert das nur vom Notebook aus und nicht vom Smartphone. Ich bin mittlerweile etwas hilflos...
Das schönste Phänomen ist allerdings das folgende:
Sobald ich das Notebook in das WLAN hänge findet es den Lautsprecher auch nicht mehr.
Im Anhang ist eine schematische Darstellung des Netzwerks.
Auch an den Firewall-Regeln auf der OpnSense könnte ich nun nicht erkennen wo da Problem liegen sollte:
Für das Lautsprecher-Netz
Für das Trusted-Netz
Für das WLAN-Netz
Vielleicht kann mir jemand einen Tipp geben warum das über das WLAN nicht funktioniert. Vielen Dank!
Edit: Ich habe mal ein Packet Capture der drei Interfaces gezogen und in Wireshark geworfen. Vom vlan50 kommen definitiv keine mDNS-Pakete im vlan70 an. Vom vlan10 jedoch kommen die mDNS-Pakete
ich habe mein Netzwerk zu Hause angepasst und stolpere leider über ein sehr nerviges Problem bzgl. mDNS und hoffe ihr könnt mir auf die Sprünge helfen.
Ich habe einen Raspberry im Netzwerk der mittels Raspotify als "Spotify-Connect" Lautsprecher Musik abspielen soll. Gesteuert wird das Ganze über die Spotify-App die entweder auf dem Smartphone oder auf dem Notebook läuft. Alle Geräte befinden sich in unterschiedlichen vlans. Spotify benötigt mDNS um den Lautsprecher zu finden. Leider funktioniert das nur vom Notebook aus und nicht vom Smartphone. Ich bin mittlerweile etwas hilflos...
Das schönste Phänomen ist allerdings das folgende:
- Der Rasperry ist gebootet
- Ich starte die App auf dem Handy
- Der Raspberry wird nicht gefunden (ich kann warten bis St. Nimmerlein)
- Ich starte die Spotify-App auf dem Notebook
- Der Raspberry erscheint sofort als Lautsprecher auf dem Notebook und auf dem Smartphone
Sobald ich das Notebook in das WLAN hänge findet es den Lautsprecher auch nicht mehr.
Im Anhang ist eine schematische Darstellung des Netzwerks.
- 3 vlans
- vlan10: vertrauenswürdige Geräte die per Ethernet verbunden sind (mein Notebook)
- vlan50: vertrauenswürdige Geräte die per WLAN verbunden sind (mein Smartphone)
- vlan70: Lautsprecher. Hier ist der Raspotify verortet
- Die vlans werden durch eine OpnSense verbunden
- Spotify benötigt mDNS zum Discovery der Lautsprecher (224.0.0.251:5353)
- Auf der OpnSense ist das Plugin UDP Boradcast Relay konfiguriert um die mDNS-Pakete in die anderen Netze zu befördern.
- Alle drei vlans sind eingetragen
- Wie man am Notebook sieht scheint das ja auch grundsätzlich zu funktionieren
- Smartphone ist ein Android
- Notebook ist ein Linux mir Spotify-Linux-App
- Raspotify ist ein Raspbian
- WLAN AP ist ein Mikrotik, nachdem ich dachte, dass ich zu blöd bin das Ding zu konfigurieren habe ich es jedoch auch mit einem alten TP-Link mit OpenWRT versucht mit identischem Ergebnis.
Auch an den Firewall-Regeln auf der OpnSense könnte ich nun nicht erkennen wo da Problem liegen sollte:
Für das Lautsprecher-Netz
Code: [Select]
pass in quick on lagg0_vlan70 inet proto udp from (lagg0_vlan70:network) to 239.255.255.250 port = 1900 keep state
pass in quick on lagg0_vlan70 inet proto udp from (lagg0_vlan70:network) to 224.0.0.251 port = mdns keep state
pass in quick on lagg0_vlan70 inet proto tcp from (lagg0_vlan70:network) to <InterneDNS> port = domain flags S/SA keep state
pass in quick on lagg0_vlan70 inet proto udp from (lagg0_vlan70:network) to <InterneDNS> port = domain keep state
block drop in quick on lagg0_vlan70 inet from any to <InternetRouter>
block drop in quick on lagg0_vlan70 inet from any to (self)
pass in quick on lagg0_vlan70 route-to (igb0 192.168.1.1) inet from (lagg0_vlan70:network) to any flags S/SA keep state
Für das Trusted-Netz
Code: [Select]
pass in quick on lagg0_vlan10 inet proto icmp from (lagg0_vlan10:network) to any keep state
pass in quick on lagg0_vlan10 inet proto tcp from any to <InterneDNS> port = domain flags S/SA keep state
pass in quick on lagg0_vlan10 inet proto udp from any to <InterneDNS> port = domain keep state
pass in quick on lagg0_vlan10 inet proto tcp from (lagg0_vlan10:network) to (lagg0_vlan70:network) port = lupa flags S/SA keep state
pass in quick on lagg0_vlan10 inet proto tcp from (lagg0_vlan10:network) to (lagg0_vlan70:network) port = 60006 flags S/SA keep state
pass in quick on lagg0_vlan10 inet proto tcp from (lagg0_vlan10:network) to (lagg0_vlan70:network) port = http flags S/SA keep state
pass in quick on lagg0_vlan10 inet proto udp from (lagg0_vlan10:network) to 224.0.0.251 port = mdns keep state
pass in quick on lagg0_vlan10 inet proto udp from (lagg0_vlan10:network) to 239.255.255.250 port = 1900 keep state
pass in quick on lagg0_vlan10 inet proto tcp from (lagg0_vlan10:network) to (lagg0_vlan70:network) port = ssh flags S/SA keep state
block drop in quick on lagg0_vlan10 inet from any to (self)
block drop in quick on lagg0_vlan10 inet from any to <InternetRouter>
pass in quick on lagg0_vlan10 route-to (igb0 192.168.1.1) inet from (lagg0_vlan10:network) to any flags S/SA keep state
Für das WLAN-Netz
Code: [Select]
pass in quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to <InterneDNS> port = domain flags S/SA keep state
pass in quick on lagg0_vlan50 inet proto udp from (lagg0_vlan50:network) to <InterneDNS> port = domain keep state
pass in quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to (lagg0_vlan70:network) port = lupa flags S/SA keep state
pass in log quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to (lagg0_vlan70:network) port = 60006 flags S/SA keep state
pass in log quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to (lagg0_vlan70:network) port = http flags S/SA keep state
pass in log quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to (lagg0_vlan70:network) port = rtsp flags S/SA keep state
pass in log quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to (lagg0_vlan70:network) port 49152:49154 flags S/SA keep state
pass in quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to 224.0.0.251 port = mdns flags S/SA keep state
pass in quick on lagg0_vlan50 inet proto tcp from (lagg0_vlan50:network) to 239.255.255.250 port = 1900 flags S/SA keep state
block drop in quick on lagg0_vlan50 inet from any to <InternetRouter>
block drop in quick on lagg0_vlan50 inet from any to (self)
pass in quick on lagg0_vlan50 route-to (igb0 192.168.1.1) inet from (lagg0_vlan50:network) to any flags S/SA keep state
Vielleicht kann mir jemand einen Tipp geben warum das über das WLAN nicht funktioniert. Vielen Dank!
Edit: Ich habe mal ein Packet Capture der drei Interfaces gezogen und in Wireshark geworfen. Vom vlan50 kommen definitiv keine mDNS-Pakete im vlan70 an. Vom vlan10 jedoch kommen die mDNS-Pakete
15
General Discussion / Re: Rule not shown in pfctl
« on: October 02, 2021, 06:08:55 pm »
Well it seems as OpnSense does not like to see backslashes in Descriptions...
I first thought so and changed the description of the rule, but nothing changed. (Of course I applied the changes every time). Then I created a new rule with a different desctiption (without special characters) and it was working. Deleted the old rule, changed the description of the new one to
So... you have to be careful choosing descriptions.
I first thought so and changed the description of the rule, but nothing changed. (Of course I applied the changes every time). Then I created a new rule with a different desctiption (without special characters) and it was working. Deleted the old rule, changed the description of the new one to
Code: [Select]
/!\ ANTI LOCKOUT /!\ and it was gone again.....So... you have to be careful choosing descriptions.
Pages: [1] 2