Messages

Hi,

bin da auf die Spur gekommen, erstmal hat der Client die Routen nicht gezogen. Ich musste im Mikrotik Router noch ein Profil anlegen. Local Address 10.10.10.2 und auf der Remote Address  10.10.10.1
Client Specific Overrides hat er nicht genommen. Im Mikrotik hab noch eine SRC Nat Masq hinzugefügt.
Zwei Forwards In und Out Interface opvn-out1

So muss es stehen. 10.10.10.0
server   OPENVPN   mikrotik   x.x.x.x:58828   10.10.10.0       2024-04-21 18:38:36   11.41 MB   33.00 MB   ok

Wenn dort eine IP-Adresse 10.10.10.2 steht, dann funktioniert das nicht mehr.
server   OPENVPN   mikrotik   x.x.x.x:58828   10.10.10.2       2024-04-21 18:38:36   11.41 MB   33.00


Die Routen und Connects , dass hatte vorher gefehlt.
server       mikrotik   x.x.x.x:58828   192.168.7.253C   2024-04-21 19:25:22
server       mikrotik   x.x.x.x:58828   192.168.7.0/24   2024-04-21 18:38:37
server       mikrotik   x.x.x.x:58828   10.10.10.0   2024-04-21 19:25:22
server       mikrotik   x.x.x.x:58828   192.168.7.1C   2024-04-21 19:25:23


In der Routing Tabelle, gibt es einen kleinen Mülleimer. Dort war durch das probieren vom GW, irgendeine Adresse "10.10.10.1" eingetragen , diese hab ich noch gelöscht und das GW nochmal neu erstellt.

Von Netzwerk der Opnsense aus.
Antwort von 192.168.7.253: Bytes=32 Zeit=41ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=63ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=44ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=69ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=39ms TTL=62

Von der Mikrotik Seite
SEQ HOST                                     SIZE TTL TIME       STATUS       
    0 193.0.8.246                                56  64 57ms616us
    1 193.0.8.246                                56  64 125ms786us
    2 193.0.8.246                                56  64 37ms379us
    3 193.0.8.246                                56  64 107ms477us

Beim Mikrotik funktioniert das Auth nicht, muss auf Null stehen.
Peer to Peer  SSL / TLS

Hallo,

ich habe hier ein Site-to-Site OpenVPN, die Opnsense ist der Server und auf der anderen Seite ist ein Mikrotik OPENVPN Client.
Beide kommunizieren über ihr Tunnelnetzwerk, die Opnsense hat 10.10.10.1/24 und der Miktrotik 10.10.10.2/24
Einen Ping auf die Tunnel IP zum Mikrotik klappt.  Von der OPNSENSE aus ping 10.10.10.2, geht.
Ich kann vom Mikrotik aus die Netzwerke erreichen, nur umgekehrt geht es nicht.
Das Mikrotik Netzwerk hat die 192.168.7.0/24.
EIn Gateway ist auch drin. Client Specific Overrides sind drin. Wird auch mit CSO verwendet.
Firewall ist auch nichts geblockt.
Vielleicht kann mir jemand einen Tipp geben. Vielen Dank. VG

default            192.168.0.1        UGS        igb1
10.10.10.0/24      link#14            U        ovpns1
10.10.10.1         link#14            UHS         lo0
10.99.99.0/24      link#13            U           wg1
10.99.99.1         link#13            UHS         lo0
10.99.99.2         link#13            UHS         wg1
10.99.99.3         link#13            UHS         wg1
10.99.99.4         link#13            UHS         wg1
10.99.99.5         link#13            UHS         wg1
10.99.99.6         link#13            UHS         wg1
localhost          link#7             UH          lo0
192.168.0.0/24     link#2             U          igb1
192.168.0.81       link#2             UHS         lo0
192.168.3.0/24     link#4             U          igb3
192.168.3.254      link#4             UHS         lo0
192.168.7.0/24     link#14            US       ovpns1
192.168.20.0/24    link#13            US          wg1
192.168.88.0/24    link#13            US          wg1
192.168.178.0/24   link#13            US          wg1
192.168.200.0/24   link#6             U           ax1
192.168.200.210    link#6             UHS         lo0
193.0.8.0/24       link#1             U          igb0

Das ist das schöne am Wireguard. Es wird da nichts antworten wenn kein wireguard client mit dem port redet.

Jetzt spricht nichts mit Wireguard, kein Peer ist verbunden. Der Port wird als "open filtert" gezeigt

51820/udp open|filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 0.65 seconds

Habe es gefunden. Ein Zahlendreher war in der öffentlichen IP Adresse im DNS.
Ich hab tausendmal drauf geschaut und es nicht gesehen, funktioniert wie erwartet.

Vielen Dank allen die mir geholfen haben.

Hier mal ein paar Screenshots.
Bei Hitron von Vodafone gibt es nur den Portforward zu 51820 UDP
Die WG Instanz zeigt Up an. Was im Reiter oben fehlt, ist der Handshake Reiter.

Bei Vodafone haben wir einen Businessanschluss mit öffentlicher IP die fest zugewiesen ist.
Wir haben ja auch einen HAPROXY mit dstnat dranhängen, funktioniert alles.
Ich glaube auch das es mit WG und einem Update etwas zu tun hat. So wie Du sagst, müssten Pakete laufen, diese kann ich nicht sehen.

Vielen Dank für die Antwort.
Einen Client habe ich dran, nur der Handshake kommt nicht, in der OPN sind auch keine eingehenden Pakete zu sehen. Ich hatte die Konstellation mit Mikrotik als vorgelagerten Router in einer anderen Umgebung gehabt, alles ohne Probleme.  Mehr als eine Portweiterleitung vom Hitron auf die IP der OPN geht dort nicht.
Auf der OPN hatte ich auch ein neues Update eingespielt, ich habe sogar eine OPN Business Lizenz. Da war auch WG defekt. Ein Patch hatte ich dann eingespielt, dann war der Fehler mit GW erstmal weg.
Auch der Reiter Handshake im WG der OPN ist nicht da. Ich habe die KMOD Version drin.

Hallo, ich habe einen  Hitron Kabel Router von Vodafone, der ist das Internet gw. IP 192.168.0.1 und dahinter ist die opnsense mit IP 192.168.0.81. Internet ist auf der opnsense soweit in Ordnung. Ich möchte dort wireguard haben, Port 51820 habe vom Hitron an die IP 192.168.0.81 weitergegeben. Ich habe wg Instanz angelegt und die Firewall Regel im wan angelegt. Wenn ich von außen einen portscan mit nmap mache wird der Port 51820 udp als closed angezeigt. Vielleicht hat jemand einen Tipp  . Vg Norman

Habe in Github den Fehler gesehen und das Template abgeändert.

https://github.com/opnsense/plugins/pull/2881

Jetzt hab ich eine positive Antwort:

2022-03-08T10:48:40           Auth: (9) Login OK: [kraft/<via Auth-Type = eap>] (from client TP port 0 cli 42-4E-76-D6-E2-16)

Bekomme jetzt kein DHCP auf das Handy. Hab ein DHCP Server am laufen, aber der ist nicht vom Freeradius. Muss man da noch was machen. ? Sry das ich Frage, habe schon Freeradius unter einem anderen Linuxsystem am laufen und einen externen DHCP Server, da geht das einfach. DHCP geht jetzt auch, hab das richtige VLAN zugeordnet, jetzt volle Funktion.

Vielen Dank für die schnelle Hilfe.

OPNsense 22.1.2_1-amd64
FreeBSD 13.0-STABLE
OpenSSL 1.1.1m 14 Dec 2021

[e6e8a1d2-2c3b-4c0b-a4f1-cfcb27857ce3] Inline action failed with OPNsense/Freeradius OPNsense/Freeradius/sites-enabled-inner-tunnel 'collections.OrderedDict object' has no attribute 'ldap' at Traceback (most recent call last): File "/usr/local/opnsense/service/modules/template.py", line 267, in _generate content = j2_page.render(cnf_data) File "/usr/local/lib/python3.8/site-packages/jinja2/environment.py", line 1304, in render self.environment.handle_exception() File "/usr/local/lib/python3.8/site-packages/jinja2/environment.py", line 925, in handle_exception raise rewrite_traceback_stack(source=source) File "/usr/local/opnsense/service/modules/../templates/OPNsense/Freeradius/sites-enabled-inner-tunnel", line 158, in top-level template code {% if helpers.exists('OPNsense.freeradius.ldap.innertunnel') and OPNsense.freeradius.general.ldap.innertunnel == '1' %} File "/usr/local/lib/python3.8/site-packages/jinja2/environment.py", line 474, in getattr return getattr(obj, attribute) jinja2.exceptions.UndefinedError: 'collections.OrderedDict object' has no attribute 'ldap' During handling of the above exception, another exception occurred: Traceback (most recent call last): File "/usr/local/opnsense/service/modules/processhandler.py", line 506, in execute return ph_inline_actions.execute(self, inline_act_parameters) File "/usr/local/opnsense/service/modules/ph_inline_actions.py", line 51, in execute filenames = tmpl.generate(parameters) File "/usr/local/opnsense/service/modules/template.py", line 344, in generate raise render_exception File "/usr/local/opnsense/service/modules/template.py", line 335, in generate for filename in self._generate(template_name, create_directory): File "/usr/local/opnsense/service/modules/template.py", line 270, in _generate raise Exception("%s %s %s" % (module_name, template_filename, render_exception)) Exception: OPNsense/Freeradius OPNsense/Freeradius/sites-enabled-inner-tunnel 'collections.OrderedDict object' has no attribute 'ldap'

Hi,

User hab ich unter dem Reiter Freeradius -->User eingetragen. Hab dies mit SQL Lite und ohne probiert.
Gruß

Hallo,

ich versuche einen Freeradius zu konfigurieren, leider kommt keine Verbindung, mit dem Tablet, zu Stande.
Ich habe einen TP Link Access Point mit WPA Enterprise aktiv. Den Client habe ich mit der IP Adresse und dem Port 1812 und Passwort reingemacht.

Im User ist der Benutzername und Passwort drin. Zertifikate sind nicht aktiv.

2022-03-07T21:30:30           Auth: (10) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [kraft/<via Auth-Type = eap>] (from client TP port 0 cli 26-62-FF-DD-B9-67)   
2022-03-07T21:30:30           Info: rlm_sql_sqlite: Opening SQLite database "/usr/local/etc/raddb/freeradius.db"   
2022-03-07T21:30:30           Auth: (9) Login incorrect: [kraft/<no User-Password attribute>] (from client TP port 0 via TLS tunnel)   
2022-03-07T21:30:30           Auth: (9) Rejected in post-auth: [kraft/<no User-Password attribute>] (from client TP port 0 via TLS tunnel)   
2022-03-07T21:30:30           Auth: (9) Invalid user: [kraft/<no User-Password attribute>] (from client TP port 0 via TLS tunnel)   
2022-03-07T21:29:38           Auth: (0) Login incorrect (eap: rlm_eap (EAP): No EAP session matching state 0xaad64968a8d75c02): [nkraft/<via Auth-Type = eap>] (from client TP port 0 cli 26-62-FF-DD-B9-67)   
2022-03-07T21:29:38           ERROR: (0) eap: ERROR: rlm_eap (EAP): No EAP session matching state 0xaad64968a8d75c02

Vielleicht kann mir jemand helfen.
Gruß Norman

Hi Franco,

vielen Dank :)

Grüsse Norman

Hallo,

ich wollte IPSEC konfigurieren, bei der Phase 1 fehlen die kompletten Auth Verfahren, es stehen nur
Mutual PSK, Mutual RSA, Mutual Public Key zur Verfügung.

Dabei bräuchte ich IKE V2 mit EAP-MSCHAPV2 .

Gibt es da eine neue Option, da die Opnsense hier in der neusten Version vorliegt und in Grundeinstellung ist.
Wäre super, wenn mir jemand da helfen könnte.

Gruß Norman

Hi there,

I have an existing IPSec connection that works in tunnel mode via 0.0.0.0/0.
Remote LAN and Internet are routed via the tunnel.
But I don't want to route the internet traffic through the tunnel. Only the Remote LAN 192.168.0.0/24 should be accessible. I need some advice on how to do that.
IPSec works with IKEv2 and EAP because Windows supports VPN.
Windows Client Config /My Solution
Set-VpnConnection -Name "OPNSENSE" -SplitTunneling $True
Add-VpnConnectionRoute -ConnectionName "OPNSENSE" -DestinationPrefix 192.168.0.0/24 -PassThru

Best Regards Norman