Messages

Schau mal auf deinem Laptop welche IP-Adressen dieser hat. Vieleicht kommst du auf die Ursache, warum du trotz deaktivierter "Any" Regeln Internet hatst.
Du kannst auch Testen die Firerwall ganz abzuschalten, weil wenn dein Aufbau deiner Zeichnung entspricht, dann darf kein Internetverbindung mehr da sein.
Ansonsten kann ich dir nur das Buch " Der Opensense-Praktiker" von Markus Stubbig empfehlen.

"Then gateway monitoring is probably misconfigured. Check the routing table for 8.8.8.8." Meeans, use a IP-Adresse on the other Side of your Wiregurad-Tunnel.

"There was a key mismatch for my VPN server, but OPNsense was reporting a successful handshake. Is it possible to change the way OPNsense reports the Wireguard status?" Yes, ther is, create a report at: https://github.com/opnsense/core/issues

@BüroMensch: Frage doch deinen neuen Provider ob  er dir nicht die 4 ISDN S0 Busse bereitstellen kann? Ein SIP-Paket ist auf der WAN-Strecke leider empfindlich, so meine Erfahrung.

Ich frage mich gerade ob du wirklich den HA-Proxy für deinen WEB-Server brauchst oder nicht einfacher mit einer Port-Nat besser fährst. Opensens und HA-Proxy sind zwei große Pakete und da du gerade anfängst machst du es dir warscheinlich unnötig kopliziert.

So wie es aussieht nutzt du für die Gegenstelle eine CA deren Zertifikate nicht Public verfügbar sind. Dann musst du das Public Zertifikat und und alles Zwischen CAs unter System\Certifcates ablegen damit die Opensense auch die Gültigkeite deiner Keys prüfen kann.

Aber was spricht dagegen im RZ zuerst eine aktuelle Gegenstelle aufzubauen und dann alle neuen Firerwalls in der "Cloud" gleich mit dem aktuellen Gerät zu verbinden?

I have a Error-Report in my System\General\LOG after Upgrade:
pf: loose state match: TCP out wire: 89.149.222.99:443 [Hetzner-Public-IPv4]:58895 stack: - [lo=3472334879 high=3472399238 win=514 modulator=0 wscale=7] [lo=673356095 high=673420439 win=510 modulator=0 wscale=7] 9:4 R seq=3472334879 (3472334854) ack=673356095 len=0 ackskew=0 pkts=22:19 dir=out,fwd

IPv4: 89.149.222.99 looks it is: crash.opnsense.org. So Im not sure is the Error importend or not?

Probiere mal - Bind adress: WAN-IP durch - Bind adress: zu ersetzen. Also das der Server für alle Interfaces arbeitet.

Hello I have 2 WAN-Lines and so  I want to bind the openVPN-Instane to 3-IP-Addresses. But I dònt find the correct Syntax for the Box "Bind address". Can anybody help me?
Thank you

Hast du bei den Instances unter "Bind address" die jeweilige IP des Interfaces eingetragen?
Ich nehme jetzt mal an das du auf der WAN-Seite den Port für OpenVPN auf die Firerwall zulässt?
Falls Ihr für WAN ein Transfehrnetzwerk habt, must du bei "Bind addresse" die IP der Opensense für dieses Netz eintragen. So war es bei  mir, ich habe aber kein Cluster.

Hast du auf den neuen WAN-Interface auch die Regeln für OpenVPN so gesetzt wie auf dem bestehenden?

Den 5 Minuten Timeout hatte ich mal mit Vodafon. Die erwarten von der Telefonanlage innerhalb dieser Zeit ein Keep-Alive Paket, ansonsten wird die Verbindung beendet.
Schau mal in den Firerwall-Logs mit dem Absender deines IP-Telefonie-Providers ob da Datenpakete hängen bleiben.

Ich habe zwar kein Netcologne, aber in ählichen Fällen immer eine Fritz-Box genutzt und die OpenSense als Exposet Host auf der Fritz-Box eingetragen.
Das lief bisher.

Hallo Patrick M.  Hausen,

das mit der Sophos hört sich so an als wenn diese das gleich Problem wie Windows hat. Das einzige was bei Windows geholfen hat, war die Zeiten so einzustellen das das Rekeying immer von Windows aus gestartet wird. -> Siehe auch Eintrag in der StronSwan-Doku im Netz.

Hallo csaeum,

warum so kompliziert?
Ich habe verstanden du möchtes nur einen Failover haben, falls eine deiner DSL-Leitungen ausfällt. Du hast 1-VServer bei Hetzner und 1 Sophos die erkennt wenn eine DSL-Leitung aufgefallen ist.
Warum  baust du nicht von der Sophos den Tunnel zur Opensens auf? Wenn die Master-DSL-Leitung down ist, dann kann die So. automatisch auf die Backup-DSL-Leitung gehen.
Das  der vServer bei Hetzner nicht erreichbar ist, das ist unwarscheinlicher als ein DSL-Ausfall.
Evt.  bis  du mit einem andern  VPN-Protokoll besser dran, aber da weiß ich nicht was die Sophos unterstüzt.

Please add it to: https://github.com/opnsense/core/issues