Messages

Hello,

we are running OPNsense in a HA-cluster, virtualiced under Proxmox VE. Our master and backup each have a configured ip-address on their interfaces, because we are using the dhcp function. The VIPs on all of our interfaces are gateway ip adresses.

After checking our routes and traffic we saw that we are getting a lot of ARP-requests from our DHCP-server.
Because of that we have some performance issues.
It is literally an ARP broadcast storm. Around 30% of our packages are ARP-requests from our master maschine.

Another problem should be that while doing a tracert into the internet our master maschine answers the first hop instead of the gateway address.

After looking through some threads here and on the proxmox site i think it has something to do with the MAC spoofing, but i am not sure if it really has something to do with it.
I know for a fact that on ESXi and Hyper-V you need to allow MAC address spoofing / MAC changes. But for Proxmox the option for MAC Filter is located under the firewall.

So here is my question. Do i need to enable the MAC Filter under Proxmox to solve our problems with CARP or is there another way to solve them?

Greetings

Leider klappt die Änderung auch nicht. Es liegt somit entweder an den Interfaces oder an CARP (HA-Cluster).

Eine neu aufgesetzte Maschine nur mit dem VLAN und Captive Portal funktioniert.

Mal schauen. Sobald bei uns die RADIUS-Authentifizierung im WLAN auch mit dem Android 12 Thema und den Zertifikaten einwandfrei funktioniert, ist bei uns das CP obsolet.

Ich habe das ganze mal durchgetestet.

Wir haben ja 2 Maschinen im HA-Cluster. Habe auf der neuen Maschine die Werkseinstellungen wiederhergestellt und nach und nach die Sachen aus der Config hochgeladen. Das Interface für den Test des Captive Portals habe ich so umgelegt, dass die 2. Maschine (Backup-Maschine) und nicht die Master-Maschine. Ich hatte nur die Interfaces und die VLANs aus der Config übertragen, Firewall-Regeln hatte ich selbst eine Floating-Regel für alle Interfaces erstellt mit allow any any.

Routing usw. wurde alles manuell angelegt, sodass halt die Grundfunktionen der Firewall gegeben waren.

Sobald ich aber auch da ein Captive Portal angelegt habe und mit dem Interface verbunden hatte, das gleiche Thema.
DHCP für das VLAN + das Interface selbst hatte ich auf der Master-Maschine deaktiviert, die DCHP-Adresse habe ich also definitiv von der Backup-Maschine bekommen.
Es ist also entweder ein Problem mit dem HA-Cluster oder die Interfaces spinnen total. Ein Versuch könnte ich allerdings noch machen, indem ich das Interface nicht mit einem VLAN anlege sondern mit einer eigenen Schnittstelle in Proxmox.

Ich habe mir jetzt auch mal die Konfigurationen der alten und der neuen OPNsense-Version angeschaut. Bei 21.7 wird vom Captive Portal noch die Version 1.0.0 verwendet, ab der Version 22.1 ist schon die Version 1.0.1 aktiv. Ich weiß leider nicht, was sich bei dem Update von CP getan hat, leider habe ich da keinen Change-Log oder ähnliches gefunden.

Die Firewall-Regeln habe ich mal als Bild hinzugefügt. Gehe aber nicht davon aus, dass das Problem bei den Firewall-Rules liegt.

Leider lässt sich Captive Portal ja nicht wirklich neu installieren, bzw. wüsste ich derzeit auch nicht, wie es gehen soll. Das Captive Portal ist bei der OPNsense ja standardmäßig mit drauf, sobald eine Konfig erstellt wird, wird CP aktiviert.
Und auch schon eine Neuanlegung der ganzen Templates und Einstellungen haben wir getestet, leider auch hier ohne Erfolg.
Ich kenne wohl die Problematik, dass man kein Internet hat, wenn es z. B. DNS-Probleme gibt.
Der Fall, dass man ohne ein Login ins Internet gelassen wird ist, ist mir bis vor Kurzem noch unbekannt gewesen. Leider habe ich auch keine vergleichbaren Threads dazu im Forum gefunden.

Was mich an dem Thema aber am meisten irritiert, ist die Tatsache, dass auf dem Netz das CP aktiv ist, aber anscheinend nicht angewandt wird.
Da es mit einer Neuinstallation auch nicht funktioniert, muss es eigentlich etwas konfigurationstechnisches sein.

Hello,

our captive portal does not lead to the login page of the captive portal when connecting to the WLAN, the clients are allowed directly into the Internet without a login.

It somehow looks as if no CP is activated on the interface.
However, if I enter the IP address of the interface on the OPNsense with port 8000, the CP login page loads normally and I can log in there. A session can also be seen in the OPNsense.

We noticed the problem when we updated from version 21.7 to 22. Unfortunately, even a pure new installation with the transfer of the old configuration does not work. I also tested different version of 22, but all tests have the same results.

Deleting and recreating the entire configuration in the Captive Portal Administration also does not help.
We have already tested an "Allow any any" rule in the firewall rules and also directly entered ports 8000-10000 for the captive portal page.

The assigned interface in the Captive Portal is correct, the settings are correct, but somewhere has to be a misconfiguration.

Due to the size and complexity of our currently existing machines, we would like to avoid reconfiguring the machines from scratch -> We have around 70 different interfaces actively running with quite large sets of rules.

Unfortunately, we're a bit at the end of our rope there.

Guten Morgen,

das einzige, was ich derzeit in der Log finden kann, ist dann der Dienst gestartet wurde: "starting captiveportal background process"

Die Schnittstelle sollte nicht das Problem sein, nach gefühlt 1000 mal überprüfen der ganzen Einstellungen kann ich mir zu 10000% sicher sein, dass die Schnittstelle die richtige ist. Das CP "antwortet" ja über die IP-Adresse der angegebenen Schnittstelle.

Das Problem ist auch wie gesagt durch das Update von 21.7 auf 22.1 aufgefallen. Wir haben das HA-Cluster (2 Maschinen mit CARP) komplett neu aufgesetzt, geupdatet und dann die alte Konfiguration wieder aufgespielt. Es sind für eine Neukonfiguration leider zu viele aktive Interfaces.

Die Firewall-Einstellungen haben wir so gemacht, damit die Clients keinen Zugriff auf die Interface-Adresse über Port 80 und 443 haben, deswegen haben wir CP-Ports freigegeben und blockieren danach den ganzen Zugriff auf das Interface. Allerdings funktioniert es auch nicht, wenn wir eine "Allow any any" Regel nach ganz oben stellen und die anderen deaktivieren.

Die APs sind hier in dem Fall nicht das Problem, es hat wie gesagt vor Version 22 so funktioniert.

Hallo,

ja, die Captive Portal Einstellungen sind aktiviert. Es funktioniert ja, wenn ich im Browser die Interface-Adresse mit dem Port angebe.
Die Settings habe ich mal als Bild angehangen.

Hallo,

unser Captive Portal leitet bei der Verbindung mit den WLAN  nicht auf die Login-Page vom Captive Portal, die Clients werden ohne Login direkt in das Internet gelassen.

Es wirkt irgendwie so, als wenn auf dem Interface kein CP aktiviert ist.
Gebe ich allerdings die IP-Adresse des Interfaces auf der OPNsense mit dem Port 8000 an, dann lädt die Login-Page von CP ganz normal und ich kann mich dort anmelden. Auch dann ist in der OPNsense eine Session zu sehen.

Das Problem ist bei uns aufgefallen, als wir von Version 21.7 auf 22 geupdatet haben. Auch eine reine Neuinstallation mit der Überspielung der alten Konfiguration funktioniert leider nicht.

Auch hilft eine Löschung und Neuanlegung der ganzen Konfiguration in der Captive Portal Administration nicht.
Bei den Firewall-Regeln haben wir schon eine "Allow any any"-Regel getestet und auch direkt die Ports 8000-10000 für die Captive Portal Page eingetragen.

Aufgrund der Größe und der Komplexität unserer derzeit bestehenden Maschinen möchten wir es gerne vermeiden, die Maschinen von Grund auf wieder neu zu konfigurieren -> Haben ca. 70 verschiedene Interfaces aktiv am laufen mit recht großen Regelwerk.

Leider sind wir da mit unserem Latein ein bisschen am Ende.

Hallo zusammen,

nachdem wir das ganze jetzt mal weiter durchgesprochen haben, haben wir uns dazu entschieden, eine Sicherung einzuspielen. Die Sicherung ist auf der Version 21.7.8. Dort haben wir das Captive Portal getestet, da hat es noch gelaufen.

Nach dem erfolgreichen Test haben wir die OPNsense wieder auf die Version 22.1 geupdated. Und siehe da, Captive Portal wird im WLAN nicht mehr vorgeschaltet.

Hat sich bei dem Update irgendetwas am Unterbau der OPNsense geändert, der mit dem Unbound DNS bzw. dem Outbound NAT irgendwelche Probleme verursacht?

Hallo zusammen,

seit unbekannter Zeit funktioniert bei uns im Netz die Weiterleitung zur Login-Page von Captive Portal nicht mehr. Der Fehler ist nur zufällig aufgefallen.

Wir haben bei uns 2 Zones angelegt für verschiedene Benutzergruppen.
Die Anzeige von der Login-Page geht über die Ports 8000 und 8001 noch. Auch eine Anmeldung auf dem manuell geöffnetem Captive Portal geht. Nach der Anmeldung werden die Sessions unter Captive Portal angezeigt. Auch in den Log-Files ist die Authentifizierung zu sehen.

Das große Problem ist jetzt, dass die Verbindung auf den Netzen so durchgeht. Heißt also, es können sich alle mit dem Netz verbinden und bekommen direkt eine Internetverbindung. Der Redirect auf die Login-Page des Captive Portals geht nicht.

Was ich schon probiert habe:
- Löschung der Datenbank unter /var/captiveportal/ und unter /conf
- Neuanlegung der Zonen
- Überprüfung DNS, die Redirect-Seiten können aus dem Netz werden -> msftconnecttest.com / microsoftconnecttest.com

Im DHCP-Server ist als DNS die Schnittstelle des Netzes eingetragen, auf dem das Captive-Portal läuft. Die Schnittstelle läuft über den Unbound DNS. Eine Internetverbindung kann ja aufgebaut werden.
In der Firewall sind die Ports 8000 -  10000 für das Catpive Portal freigegeben. Auch mit einer "Allow any any"-Regel habe ich leider keinen Erfolg verzeichnen können.

Wir haben in unserem System 2 OPNsense-Maschinen im HA-Cluster am laufen, die beiden virtuellen Maschinen sind auf der Version 22.1.4_1.
Durch das Update kommt der Fehler nicht, bei einem anderen Kunden haben wir das gleiche System im Einsatz, dort geht das Captive Portal noch.

Eine Neuinstallation der Maschinen kommt nicht in Frage, da dies unsere Router-/DHCP-Maschine im Netzwerk ist.

Was können wir tun bzw. wo liegt der Fehler?

Ok, das Problem hat sich jetzt geklärt. Nach dem Löschen der sqlite-Datenbank war das Problem behoben.

Der Thread ist somit abgeschlossen.

Hallo,

ja, wir haben die beiden Captive Portals über 2 verschiedene Interfaces am laufen.
Durch die Größe unseres Netzwerkes ist ein Netzplan nicht wirklich angebracht. Hier aber trotzdem mal eine grobe Zusammenfassung:

  WAN                <--->                    OPNsense                                <--->                    Core-Switch
Internet                           Netze Verwaltung und Hotspots                                         Netze Pädagogik

Wir haben die OPNsense im Cluster eingerichtet, wir arbeiten also eigentlich nur mit Carp-Adressen. Eine Neuanlegung der CARP-Adresse hat leider nichts gebracht.

Ich kann aber nicht sagen, welche Informationen weiterhin benötigt werden.

Mittlerweile hat sich das Problem aber verändert. Der Redirect funktioniert jetzt, wir haben am System aber nichts verändert. Also Grund unbekannt.

Das neue Problem ist jetzt, dass die Authentifizierung am Captive Portal nicht mehr funktioniert.
Auf der OPNsense haben wir für Schüler und Lehrer unter Access je einen Server angelegt. Über den Tester können wir auf beiden Servern eine Authentifizierung feststellen.
Im Captive Portal kommt mit den gleichen Werten aber "authentication failed". In den Log-Files der OPNsense ist aber folgender Eintrag bei der Anmeldung zu sehen:"
2021-02-22T07:54:11   captiveportal[14303]   AUTH tlehrer (10.201.16.98) zone 0"

Heißt für mich, die Anmeldedaten sind richtig.

Woran kann das liegen?

Hallo,

wir haben bei einer Schule 2 Captive Portals eingerichtet. Ein CP ist für SchülerInnen, das andere CP ist für LehrerInnen.

Die Konfiguration der CP ist an sich richtig, da es mit den Einstellungen anfangs funktioniert hat.

Das Problem was wir haben, ist dass das Captive Portal von Zone0 auch gleichzeitig das Captive Portal von Zone1 vorgibt.

Heißt also, wenn ich mich als Lehrer anmelden will (Zone0) funktioniert alles. Als Schüler werde ich auf das CaptivePortal der Lehrer redirectet. Somit geht hier auch nur die Anmeldung der Lehrer.

Eine komplette Neueinrichtung des CP hat nichts gebracht, das CP (egal wie viele) redirectet immer zum CP Zone0.

Ich vermute, dass das Problem durch das Update von 20.7 auf 21.1 aufgetreten sein muss, da in der Zwischenzeit nichts anderes verändert wurde.

Wo liegt hier das Problem? Kann mir einer weiterhelfen?