Messages

Wäre doch eigentlich Sinnfrei ein Zertifikat manipulieren zu können.
Dann wäre doch die ganze Sicherheit dahin.
Du kannst Zertifikate nicht verlängern.
Man kann mehrere anlegen (z.B. nach einem Jahr ein neues) und die alten bei Bedarf revoken. Und vor Ablauf parallel betreiben.
Und ja, die clients müssen das auch mitgeteilt bekommen.
Nehm ein Ablaufdatum was dir passt.
Und wenn einer auf dein System will dann zu 99.9% nicht mit deinen Zertifikaten.
Das ist ja eher interresant das du weißt das du auf deine Maschine verbindest und nicht auf irgend einen Host.
Das Zertifikat alleine sollte ja nicht unbedint die einzigste Sicherheitsmaschinerie sein. Ein Passwort sollte mindestens auch noch inbegriffen sein.

Zufällig Zenarmor installiert?
Oder URL Tables etc. eingepflegt?

Deine Infos sind echt spärlich. Ich sag dir du machst was falsch.
Paypal wird im standard nicht einfach so geblockt, dass müsste man schon extra konfigurieren.

Ich denke du hast da was konfiguriert was dir diverse Quellen blockt.
Und du merkst das jetzt an Paypal.

The "hard" interface names. ethX,ensX,igbX,igcX a.s.o
You can use a lagg/trunk to avoid that problem.
if you have several ethernet ports at the virtual machine you can passthrough the ethernet port.

You need the same interfaces names. I guess that could be a problem.

I guess, i got/solve it.

The reason was (is still exiting at some vlans) that the Outbound NAT rules were not correct. I do not know why that works previously with the old appliances and/or older opnsense versions.
I restored only the backups of the old appliances.
I think i will boot the old ones and will check if there is a difference to the new ones, now.

Reason:
The Interface IP was changed to the virtual one. You can see uploaded screenshot. But reverse the NAT directing to (i guess) the master interface address. Bug or maybe the problem takes place also there -> https://redmine.pfsense.org/issues/14026
idk yet.

If i set the outbound nat as follows:
if source and destination is in same net then use the NAT address of the interface addr
..then it is working, except reaching of the virtual or master interface address. But i can reach hosts inside the network.

Hello,

i have problems to reach any host inside my network.
HA is working, switch over and reverse is working. Both are possible to ping each other at the pfsync interface.
Both can reach the modem and the internet. But The master can ping all hosts inside the network.
Thebackup can not! Doesn't matter wich appliance is master.

It was working several weeks ago. I know that because a allready added the NUT service for an upsserver.
For that i took data from an other host.
I changed my firewall appliances (restored a working backup) and made also the last update of opnsense.
I do not know since the behavior now is present.
my opnsense versions are:
OPNsense 24.1.9_4-amd64
FreeBSD 13.2-RELEASE-p11
OpenSSL 3.0.14

I captured both firewalls. The request and replys are at both firewalls present, but no response at the console.
I also detect no blocks. Any one an idea of that behavior?

Edit.: The backup node can not reach any kind of server inside the network. Not only Ping (icmp).

Dann Vieleicht so was wie ein "GL.iNet GL-MT300N-V2".
Wireguard geht out-of-the-box.
Kost 30€ kannste openwrt drauf hämmern. Würde auch Sinn  machen um den China kram los zuwerden.
Sind nicht ultra performant aber billig.
Habe die Teile für die Arbeit um an meine SPS'en u kommen.
RDP sollte gut klappen.

WAN's sind private Adressen.
Gateway ist eine Fritzbox.
Jede Fw hat 2 Adressen auf die Fritzbox. fw1: 192.168.2.2 & 192.168.2.251, fw2: 192.168.2.2 & 192.168.2.252
Einmal die Statische und einmal die geteilte Virtuelle vom Cluster.
Somit sollte doch die statische Schnittstelle immer Verbindung zur Fritzbox haben.

Also sollte ich von der Slave wenigstens die Fritzbox pingen können. Aber das geht auch nicht.

Hallo,

kurze Frage. In einem HA-Verbund hat da der Slave keine aktive WAN-Verbindung?
Oder ist bei mir was falsch parametriert?

Habe mich an folgende Anleitung gehalten.
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten

Dort steht das man erst die Slave updaten soll.
Dann die Slave zur Master machen.
Konrollieren ob alles läuft.  Und wenn "ja" dann die "eigentliche" Master updaten soll.

Somit sollte doch eigentlich die Slave eine aktive WAN-Verbindung behalten. da sonst nix update :(
Aber meine Slave hat keine aktive WAN-Verbindung. Also die aktive hat Internet die inaktive nicht.

Hallo zusammen,

ich habe ein komisches Phänomen in meinem System.
Das Problem besteht schon länger. Habe die aktuelle "OPNsense 23.1.11-amd64" aktiv. (eigentlich immer recht Zeitnah aktualisiert)
Das Problem war aber schon bei vorherigen Versionen.

Und zwar ist es so das einst manchmal meine Firewall's ausgestiegen sind. Und zwar habe ich ein HA-Verbund und dann verlieren alle firewalls den carp status. Ich bekomme beide erst wieder syncron wenn ich beide neustarte.
Sonst haben manche VLan's den Master FW1 und andere den Master FW2.


Aber jetzt kommt der Kracher für mein Verständniss. Das Problem/Verhalten tritt immer nur auf wenn ich in einem Teams Meeting bin! Und das ist kein Zufall mehr.


Ich weiß nicht wo ich ansetzen soll warum die firewalls sich zerschissen bzw. das carpen.

Anbei die ersten Meldungen aus dem Log zum Zeitpunkt des Geschehens.
Kann sich das einer erklären und am besten mir erklären was da passiert oder wie ich das eingrenzen könnte warum und was da passiert?

Ich habe jetzt alles soweit am laufen was der Plan war.

2 fw-appliances und 2x switch. Alles so ziemlich redundant.
Einziger Wehmutstropfen ist/sind meine Router. Beides Fritzboxen.
Die mögen nicht wirklich das beide Firewalls sich mit der gleichen virtuellen IP anmelden.
Somit "klebt" der erst zugelassene immer auf der Fritzbox und er andere hat kein Gateway. Ein umschalten ist nur möglich wenn eine fw sich nicht mehr meldet, muss mal gucken ob ich das noch umgehen kann.

Oder stimmt vieleicht doch nicht alles mit der HA funktion bzw meinem Setup?
Sollte die Backupfirewall vieleicht garnicht die virtuelle IP parallel benutzen?

Der Aufbau jetzt ist wie folgt:
fw1 mit lacp lagg (2ports) auf einen lagg an switch1 (einen Port) und ein lagg auf switch2 (ein port)
fw2 das gleiche spiel.
Die beiden Switche sind mit einem lagg verbunden der zudem noch auf einem switch STP&loop protection aktiv auf dem lagg hat.

Das Umschalten von einer FW auf die zweite dauert etwas, funktioniert aber. Also stossfrei ist anders!
XMLRPC Sync funktioniert auch von der Master auf die Backup trotz igb/igc ports ohne lagg.

Mir ist klar das ganze für zuhause etwas overkill ist. Aber ich wollte das mal umsetzen und gucken wie und ob das so funktioniert. Vieleicht bekomme ich das mit den virtuellen wan IP's auch noch geregelt.

Ach ja, zum testen reicht eine Firewall, falls das mal einer auch wissen möchte und hier landet. Zumindest für den Anfang um zu schauen ob die virtuellen IP's arbeiten und die Rules und das Naten stimmt. Hatte ja bis dato leider keine Antwort auf die Frage bekommen vieleicht hat das hier auch noch niemand ausrobiert. Ist ja eigentlich so auch ersteinmal sinnfrei.

Edit:
Das "virtuelle wan IP" Problem habe ich gelöst!
War wie fast vermutet mein falsches HS Setup.
Es war fälschlicherweise in den dhcp's die failover peer IP auf die virtuelle IP gelegt und nicht auf die andere fw. Jetzt fluppt das umschalten auch flotter und gefülht stossfrei!

Und GeoIP Block hat ja den Sinn freigebene Service/Server von einem Land fernzuhalten.
Z.B. keine Anfragen aus Russland/China/Indien auf deinem Webserver zulassen. Oder anders herum alles zulassen aus Ländern die deine Seite erreichen können sollen.

Und vieleicht haben die es garnicht auf deinen Webserver abgesehen, aber sehen so das da ein potenzielles Opfer sitzt. Ausserdem ist nichst "bulletproof". Wie oft werden Sichertslücken bekannt die schon etliche jahre aktiv sind und nach Jahren erst erkannt werden. Da gibt es gerade sicher genügend die im eingeschwörenen kreis bekannt sind und genutzt werden. Und der rest der Welt das erst erfährt wenn die Patchs rauskommen.

Und wie tiermutter schon sagte, pflegts du dann immer deine Regeln nach.

Das nachpflegen muss ich auch machen da ich  beruflich viel reise und nutzt VPN. Der VPN wird z.B. nur erlaubt aus Ländern die ich Besuche/Durchreise.
Bei mir sieht es wie folgt aus:

1.Block von allen Anfragen aus den nicht erlaubten Ländern
2.Block von abused IP's
3.VPN erlauben
4.Block der restlichen nicht erlaubten Länder (nur noch deutschland)
5.webserver etc. erlauben

Um meine SSL Zertifikate zu erneuern muss ich auch eine Regel enablen, da die USA anfragen prinzipiell auch geblockt werden.
Je mehr zu einpflegst und sicherst um so mehr Arbeit zieht es auch nach sich das zu pflegen.
Ist halt keine FritzBox so eine opnsense appliance.

[test]

Kann es sein das ich die zweite FW für den test brauche?

Das ist mein Testaufbau da ich "nur" 2 Appliances habe und eine gerade produktiv aktiv ist.

Soll nur zum Testen sein. eine HA mit einer FW macht ja mehr als wenig Sinn!

Was ich nicht verstehe, ist, wie bei dir LLDP in diese Fragestellung rein kommt?

Ich auch nicht mehr wirklich ;) Habe es wegeditiert!

Aber warum bekomme ich keine HA zustande. Muss ich zwei Firewalls haben um das zu testen. Kann ich das nicht mit einer hardware fw testen? Diese sollte doch dann Master werden. Weil die andere nicht da ist. Oder sehe ich das falsch?

Ich habe das jetzt getestet.
Also, den lagg von der fw auf je einen switch geht nicht. Zumindest bekomme ich es mit meinen switchen(switches?) nicht hin. dann ist immer nur einer ansprechbar bzw. das gesamte Netzwerk nur aus dem ansprechbaren nutzbar. Der "tote" sieht nur sich selbst und mein test-device (wenn es dran hängt).

Was aber geht ist wenn ich jeweils einen Port eines switches mit allen vlans versehe und diese dann verbinde (stacke).
Meintest du das so?
Oder den lagg auf den switchen auch via doppel port und dann diese verbinden.
Also im Ring den ganzen lagg. FW_1 > Sw1_1, FW_2 > Sw2_1, Sw1_2 > Sw2_2.?

Wenn ich die switch1-switch2 verbindung jetzt als lagg ausführen würde dann hätte ich eine redundanz aller Kabel und der switche.
Das umschalten der FW lagg verbindung dauert etwas beim umschalten aber wird gemacht. Ich muss mal testen was da "fast timeout" im lagg bringt.