Messages

Hi all

is anyone happy with the new IPSec section?

For me the old one looks a bit more complicated but have a lot of more option.
- One Feature that I really miss, ist the use of a "Remote Certificate Authority". I generated an own CA with a CRL and OCSP. In the new option I can't use it.
- Next it is very heavy to set the routing correctly. In the old config I have the option to set a route-based vpn, that makes it very easy. No need to setup manually an VTI.

Any one have other feelings?

[strongswan-mod-curl]

Hi all

i have the following Situation:
- Setting up an IPSec with X509 Cert
- IPSec working and is up but in logs I can see CRL and OCSP Check are failing due to "no capable fetcher found"
- CURL to OCSP and CRL from Opnsense working correctly

from Strongswan Logs:

Code Select Expand


<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="215"] 09[CFG] <5> selected peer config "con3"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="216"] 09[CFG] <con3|5>   using certificate "C=DE, ST=BW, xxxxx"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="217"] 09[CFG] <con3|5>   using trusted intermediate ca certificate "C=DE, ST=BW, xxxxx"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="218"] 09[CFG] <con3|5>   using trusted ca certificate "C=DE, ST=BW, xxxxx"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="219"] 09[CFG] <con3|5>   reached self-signed root ca with a path length of 1
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="220"] 09[CFG] <con3|5> checking certificate status of "C=DE, ST=BW, xxxxx"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="221"] 09[CFG] <con3|5>   requesting ocsp status from 'http://xxxxx:8080' ...
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="222"] 09[LIB] <con3|5> unable to fetch from http://xxxxx:8080, no capable fetcher found
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="223"] 09[CFG] <con3|5> ocsp request to http://xxxxx:8080 failed
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="224"] 09[CFG] <con3|5> ocsp check failed, fallback to crl
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="225"] 09[CFG] <con3|5>   fetching crl from 'http://xxxxx/intermediate.crl.pem' ...
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="226"] 09[LIB] <con3|5> unable to fetch from http://xxxxx/intermediate.crl.pem, no capable fetcher found
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="227"] 09[CFG] <con3|5> crl fetching failed
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="228"] 09[CFG] <con3|5> certificate status is not available
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="229"] 09[CFG] <con3|5> checking certificate status of "C=DE, ST=BW, xxxxx"
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="230"] 09[CFG] <con3|5>   fetching crl from 'http://xxxxx/ca.crl.pem' ...
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="231"] 09[LIB] <con3|5> unable to fetch from http://xxxxx/ca.crl.pem, no capable fetcher found
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="232"] 09[CFG] <con3|5> crl fetching failed
<30>1 2023-05-03T11:07:27+02:00 pve-fwxxxxx charon 91423 - [meta sequenceId="233"] 09[CFG] <con3|5> certificate status is not available



what i also have seen from swanctl --stats or ipsec statusall I can see that following modules are loaded:

Code Select Expand


loaded plugins: charon aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf curve25519 xcbc cmac hmac kdf gcm drbg attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters



Here I missed the curl module from strongswan-mod-curl.


Is anyone aware of this Issue? Maybe any developer around ;)

Hi all

I have an IdP with a X509 authentication and this server works finde if I communicate directly:
- browser ask me for a client certificate
- select the x509 client certificate
- browser send certificate-> Done

When I use the Nginx reverse proxy in-between, the browser doesn't ask for my x509 certificate.

In HTTP Server I selected my "Client CA Certificate" and tested all options from "Verify Client Certificate" - but I don't see any differents in action.

any idea?

Nach etwas mehr Analyse fand ich nun heraus, dass es irgendwie mit den Security Headern zu tun hat.
Wenn ich die beim Servet abschalte, klappt es.
Weiß aber noch nicht genau, welcher Header hier den Issue genau verursacht.

Wenn also einer noch ein Hing hat, bin ich dankbar.
Werde selbst noch weiter suchen.

Hallo Community

ich hoffe es gibt einen Profi unter euch, der mir schnell helfen kann.
Ich habe intern eine Nexcloud-Instanz gehostet. Diese habe ich via Nginx auf der OpnSense veröffentlicht.

Das hat auch immer prima geklappt - bis zu einem Update vor 2-3 Wochen des Nginx.
Seither bekomme ich auf meinem iOS Device ein NSURLErrorDomain-Fehler angezeigt (Screenshot).

Wenn ich intern direkt die Nexcloud Instanz anspreche, dann klappt der Login - ist also wirklich irgendwas mit dem Nginx auf der Opn zusammenhängend.

An der Config meinerseits hat sich auf der Opn nichts geändert seither...
Access Log sagt mir auch noch nichts bahnbrechendes...

Any Idea?

Danke euch

Hat sich erledigt - es war ein Denkfehler.

Hallo zusammen

ich bin relativ neu und stelle deshalb vielleicht eine blöde Frage...

Ich hab eine Opi am laufen. Dort sind mehrere VLANs angelegt, welche auf ein Interface gebunden sind.
Nun möchte ich eine Floating Rule in der FW erstellen und dem Interface (physisch und dem tagged VLAN Interface) zuordnen, was ich auch gemacht habe (siehe screenshot).

Nun sehe ich die Floating Rule bei dem physisch Interface unter "Automatically generated rules".
Jedoch bei den VLAN Interfaces nicht.

Habt Ihr mir einen Tipp?
Ist das eine Limitation?

Danke euch!

Hallo zusammen

ich versuche gerade meine alte Firewall durch was gescheites zu ersetzen und war immer guter Dinge bei meiner Opn.

Nun habe ich folgendes Szenario was ich einfach so nicht zum laufen bekommen:
Ich habe eine Hardware mit mehreren LAN-Ports.
Diese LAN Ports möchte ich in einer Bridge zusammenfassen und dort mehrer VLANs ausliefern (mit einem untaggten Port)


Ich habe dazu folgendes eingerichtet:

Interfaces: em0, em1, em2 angelegt und enabled - keine IPv4+6: None
bridge0 angelegt mit member: em0, em1, em2

Mehrere VLANs angelegt und der Bridge zugeordnet:
1_MGM (bridge0) -> v4: 192.168.100.254/24
2_CLT (bridge0_vlan101) -> v4: 192.168.101.254/24
3_MED (bridge0_vlan102) -> v4: 192.168.102.254/24
4_DMZ_1 (em1_vlan103) -> v4: 192.168.103.126/25
4_DMZ_2 (bridge0_vlan100) -> v4: 192.168.103.254/25


Nun bekomme ich das Native Netzwerk zum Laufen (bridge0) und via DHCP wird mir eine IP vergeben.
Die getaggten VLAN Netzwerke klappen aber nicht.

Wenn ich das VLAN einem Native Port zuweise (em4) dann klappt alles wunderbar.

Hat jemand eine Idee? Ist das eine Limitation?

BESTEN DANK