Messages

I have a Error-Report in my System\General\LOG after Upgrade:
pf: loose state match: TCP out wire: 89.149.222.99:443 [Hetzner-Public-IPv4]:58895 stack: - [lo=3472334879 high=3472399238 win=514 modulator=0 wscale=7] [lo=673356095 high=673420439 win=510 modulator=0 wscale=7] 9:4 R seq=3472334879 (3472334854) ack=673356095 len=0 ackskew=0 pkts=22:19 dir=out,fwd

IPv4: 89.149.222.99 looks it is: crash.opnsense.org. So Im not sure is the Error importend or not?

Probiere mal - Bind adress: WAN-IP durch - Bind adress: zu ersetzen. Also das der Server für alle Interfaces arbeitet.

Hello I have 2 WAN-Lines and so  I want to bind the openVPN-Instane to 3-IP-Addresses. But I dònt find the correct Syntax for the Box "Bind address". Can anybody help me?
Thank you

Hast du bei den Instances unter "Bind address" die jeweilige IP des Interfaces eingetragen?
Ich nehme jetzt mal an das du auf der WAN-Seite den Port für OpenVPN auf die Firerwall zulässt?
Falls Ihr für WAN ein Transfehrnetzwerk habt, must du bei "Bind addresse" die IP der Opensense für dieses Netz eintragen. So war es bei  mir, ich habe aber kein Cluster.

Hast du auf den neuen WAN-Interface auch die Regeln für OpenVPN so gesetzt wie auf dem bestehenden?

Den 5 Minuten Timeout hatte ich mal mit Vodafon. Die erwarten von der Telefonanlage innerhalb dieser Zeit ein Keep-Alive Paket, ansonsten wird die Verbindung beendet.
Schau mal in den Firerwall-Logs mit dem Absender deines IP-Telefonie-Providers ob da Datenpakete hängen bleiben.

Ich habe zwar kein Netcologne, aber in ählichen Fällen immer eine Fritz-Box genutzt und die OpenSense als Exposet Host auf der Fritz-Box eingetragen.
Das lief bisher.

Hallo Patrick M.  Hausen,

das mit der Sophos hört sich so an als wenn diese das gleich Problem wie Windows hat. Das einzige was bei Windows geholfen hat, war die Zeiten so einzustellen das das Rekeying immer von Windows aus gestartet wird. -> Siehe auch Eintrag in der StronSwan-Doku im Netz.

Hallo csaeum,

warum so kompliziert?
Ich habe verstanden du möchtes nur einen Failover haben, falls eine deiner DSL-Leitungen ausfällt. Du hast 1-VServer bei Hetzner und 1 Sophos die erkennt wenn eine DSL-Leitung aufgefallen ist.
Warum  baust du nicht von der Sophos den Tunnel zur Opensens auf? Wenn die Master-DSL-Leitung down ist, dann kann die So. automatisch auf die Backup-DSL-Leitung gehen.
Das  der vServer bei Hetzner nicht erreichbar ist, das ist unwarscheinlicher als ein DSL-Ausfall.
Evt.  bis  du mit einem andern  VPN-Protokoll besser dran, aber da weiß ich nicht was die Sophos unterstüzt.

Please add it to: https://github.com/opnsense/core/issues

Bessere Lösung: nutze lieber Chrony als NTP auf der OPNsense, gibt es als Addon.

Hab damit noch keine Probleme gehabt auch nicht mit VPN oder diversen VLAN's

Ich teste es mal, danke.

Gib bei Endpoint address: <öffentlicher DNS-Eintrag> mal deinen Zielport 51821 mit an.

Die Meldung "unable to create socket on ipsec2 (22) for 192.168.110.1:123" erscheint im Start-Protokolle des NTP-Dienstes wenn auf der Firerwall ein
lokale VLAN Interface mit der Firerwall-Adresse 192.168.110.1 und eine IPSEC verbindung mit dem lokalen Subnet 192.168.110.0/24 vorhanden ist. Das Interfae für IPsec in den Einstellungen des NTP-Servers wurde deaktiviert. Dies wird aber beim Start nicht beachtet.
Nur wenn ich den NTP-Servic ebenfalls für das loklaen Interface der Firerwall 192.168.110.1 ausschalte, startet der NTP-Server für die restlichen Interfaces.
Hatte schon jemand das Verhalten oder eine Lösung?
Firmware ist die 24.1.4_1

Nur das es nicht deine DNS-Anfragen sind, nimm die Google-Server 8.8.8.8 und 8.8.4.4 aus deiner DNS-Konfiguration und ersetzte diese durch andere. Z. B. die deines Providers.

For Information off other, Sysem-Access-User- Name must the same entry as the common name on client certificate in System: Trust: Certificates.