Messages

1

24.7 Production Series / Re: SSH to opnsense broken on macOS sequoia

« on: September 29, 2024, 07:09:08 pm »

In my case it helped to generate a new SSH key.
There was no need to turn off the firewall.

2

24.7 Production Series / Re: SSH to opnsense broken on macOS sequoia

« on: September 29, 2024, 12:43:04 pm »

Does resetting the SSH key help?

ssh-keygen -R <IP-Adresse/Name>

3

24.7 Production Series / Re: Upgrade to 24.7.5 does not automatically reboot

« on: September 26, 2024, 05:33:19 pm »

bare metal: I only stopped crowdsec before the update. The update was as expected.
I did this on two other servers via VPN without any problems.

4

German - Deutsch / Re: IPv4-Route für Wireguard VPN erstellen

« on: September 03, 2024, 06:19:28 pm »

Deine Fragen zeigen deutlich, dass Du quasi keinerlei Ahnung hast. Warum Du dann überhaupt eine *Sense benutzen willst, erschließt sich mir nicht.
....

Mir erschliesst sich nicht, warum Du überhaupt auf den Post in diesem Forum antwortest, wenn Du nicht respektvoll und freundlich auf eine Anfrage eines Hilfesuchenden antworten möchtest - möge er noch so unerfahren sein.
Nicht das erste Mal!

Transport is 10.100.0.0/17

Why do you use 17. Is it your age?

daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...

Du hast also kein Geld, keine Zeit und keine Ahnung, aber dafür Teenager... Und die sollen irgendwie nicht auf deinen PC zugreifen können? Und dann kommst Du auf die Idee, eine OPNsense in VirtualBox zu installieren und das soll irgendwie helfen?

5

24.7 Production Series / Re: Unbound, again !

« on: September 01, 2024, 01:53:05 pm »

My experience so far has always been that the problems with opnsense have always been in front of my screen!

If you assume that it works for a lot of people, then you would be well advised to look for the error in yourself first.

6

24.1 Legacy Series / Re: OpenVPN Connection Problem [OPNSense 24.1.9]

« on: July 10, 2024, 05:43:37 pm »

OPNSense has 2 networks:
WAN: 192.168.1.0/24 (my home network)
LAN: 10.50.140.0/24 (internal network).

The client is a pc connect via Wifi on network 192.168.1.0

Provided the settings are correct and the corresponding rules are defined, you cannot test the VPN connection if you are in the same network.
Test the client export file on the smartphone in the mobile network.

7

German - Deutsch / Re: OPNSense - Fritzbox - VOIP Telekom (Pistole auf der Brust)

« on: June 20, 2024, 08:27:47 pm »

Ich hoffe, ich trage keine Eulen nach Athen. Zumal Du schon viele Anleitungen gefunden hast.
Bei mir hat folgende Anleitung aus dem Forum sehr gut und seit Jahren stabil funktioniert. (nicht auf meinem Mist gewachsen).
Zwar geht es hier um 1und1. Ich nutze selber aber Telekom.

Zitat:
[Ich muss gestehen, das ich durch die Diskussion nicht mehr ganz durchsteige, daher beschreibe ich mal, wie ich die Internettelefonie seit längerer Zeit mit 1&1 bei mir laufen habe (läuft übrigens genauso gut mit Sipgate).

Die Konfiguration läuft bis auf ganz seltene Aussetzer recht stabil, wobei ich die seltenen Aussetzer bisher noch nicht eindeutig untersucht habe, aber erst mal ohne genauere Kenntnisse der Fritzbox zuordne. Die Probleme treten aber ausschließlich bei längerem Ausfall der Internetverbindung auf. Die Zwangstrennung der Internetverbindung nach 24 Stunden stellt kein Problem dar (Die Fritzbox stellt sich nach 5 Minuten darauf ein, nachts kein Problem).

Das grundlegende Setup baut ausschließlich Verbindungen von innen nach außen auf, so dass man keine eingehenden Portfreigaben benötigt, welche sich nur schwer auf IP-Adressbereiche im Internet eingrenzen lassen. Vorab ist zu sagen, das sich dieses Setup primär auf 1&1 bezieht und nicht unbedingt direkt auf andere Anbieter übertragen läßt, da die Implementierungen der Registrare durchaus unterschiedlich sein können. Weiterhin ist dieses Setup noch unoptimiert und gewährt der Fritzbox ausgehend weitreichende Zugriffe auf das Internet (ist aber nicht grundlegend problematisch, da die Fritzbox als primärer Router die gleichen Zugriffe hätte und der Hersteller zudem seinen guten Ruf zu verlieren hätte).

Opnsense 20.7.3 (primäre Firewall und Router, managt Internetverbindung über PPPoE, einzige NAT-Instanz)
Fritzbox 7490 (Firmware v.7.21, Client-Modus)

Setup Opnsense:
Firewall -> NAT -> Port Forward
nicht notwendig
Firewall -> NAT -> Outbound
Interface: WAN
TCP/IP Version: IPv4
Protocol: UDP
Client address: interne IP der Fritzbox
Source port: any
Destination address: any
Destination port: any
Translation target: interface address
Static port: yes (*)
Firewall -> Rules -> Client Net
Action: Pass
Interface: LAN Net
Direction: in
TCP/IP Version: IPv4
Protocol: TCP/UDP
Source: interne IP der Fritzbox
Source port range: (5060:5061, 7070:7109) [über Alias kapseln]
Destination: !RFC1918 (alle nicht privaten IPv4-Adressen)
Destination port range: any
Firewall -> Settings -> Advanced
Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]

Setup Fritzbox:
Eigene Rufnummern:
Registrar: sip.1und1.de
STUN: stun.1und1.de
Internettelefonie-Anbieter kontaktieren über: IPv4
Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Telefonieverbindung
Portweiterleitung des Internet-Routers für Telefonie aktiv halten: aktiviert (*)
Portweiterleitung aktiv halten alle: 30 sek. (*)]

8

German - Deutsch / Re: 3CX Firewallregeln

« on: February 27, 2024, 09:32:08 am »

Die Konfiguration von FQDN hatte ich bis jetzt nicht vorgenommen, weil ich bis jetzt nicht weis wie das funktioniert.
In dieser Anleitung wird es gezeigt wie es mit der pfsense funktioniert: https://www.3cx.com/docs/pfsense-firewall/
Aber die Menüs „Dienste“  > „DNS-Resolver“ usw. gibt es bei der opnsense nicht.

Hat vielleicht jemand eine Anleitung wie das mit der opnsense eingestellt wird?
Es läuft auch noch AdGuard auf der opnsense.


Gruß
Alexander

Vielleicht hilft das:
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#upstreams-for-domains

9

German - Deutsch / Re: PPPoE Einwahl bei Telekom via Modem

« on: December 27, 2023, 06:07:42 am »

Muss nicht Dein VLAN 7 die pppoe Verbindung herstellen?
Denn dort findet sich der VLAN Tag 7.
WAN ist nicht getaggt.
Oder wie Patrick empfohlen hat bei WAN pppoe bleiben und den Tag durch das Modem setzen lassen

10

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 21, 2023, 07:24:33 pm »

Den "Würfel" habe ich gefunden und schon fleissig "gespielt.

Die Blockregeln am Ende sollen dafür sorgen, so meine Idee, dass ich explizit den anderen Schnittstellen gestatten muss Zugriff auf die jeweilige Schnittstelle zu bekommen.
Insofern ist LAN111 ein schlechtes Beispiel, als dass ich diese Schnittstelle im Moment brauche, um Zugriff auf alle weiteren Schnittstellen zu bekommen.
Wenn ich mein Problem mit TP Link gelöst habe und auch getaggte VLAN wieder per WLAN erreichbar sind, wird das Privileg auf alle Schnittstellen zuzugreifen nur noch der Management- Schnittstelle zuteil werden und auch dort nur bestimmten Clients.

11

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 21, 2023, 06:51:00 am »

0. Dann werde ich es so einrichten. Wie ist die konkrete Schreibweise als virtuelle IP, dass OPNsense weiss die ersten 40 bits zufällig zu ermittelt? Im Moment sieht es bei mir folgendermassen aus fd00:111::1/64 entsprechend dem LAN111. Ein Rechner im Netz ermittelt dann folgende IP: fd00:111::ceb:fb90:a62f:1974.

1. Wie ginge es den einfacher?

Vielen Dank

12

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 20, 2023, 03:49:42 pm »

Ja, stimmt natürlich!
Hatte mich falsch erinnert. Hätte man sich aber auch herleiten können.
Wie krass.

An alle übrigen, die sich für IPv6 interessieren kann ich nur Clemens Schrimpe empfehlen und vor allem den Podcast, der hier im Forum bereits verlinkt wurde:
https://requestforcomments.de/archives/412

Viele Grüße und Danke

13

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 20, 2023, 05:03:09 am »

Wie soll das gehen? Pakete von außen kommen zum WAN Interface rein. Wenn du auf WAN keine expliziten "allow" Regeln hast, dann kommt da natürlich nichts durch. Wüsste nicht, was das mit den Adressen zu tun hat.

Ein Paket, das zum WAN hereinkommt wird nach den Regeln auf WAN und nur nach diesen bearbeitet. Jedenfalls dann, wenn man wie empfohlen nur "in" Regeln verwendet und ebenfalls keine Floating Regeln.

Vielen Dank

14

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 20, 2023, 04:59:35 am »

0. Da habe ich nur an den ULAs etwas auszusetzen. Das sollte ein zufällig generiertes /48 sein, das dann in die benötigten Subnetze aufgeteilt wird. So wird verhindert, dass es beim zusammenführen oder verbinden von Standorten zu Konflikten kommt (z. B. bei IPv4 Site-to-Site-VPNs oft ein großes Problem).
1. Sind das die Regeln für das Interface LAN111 oder die Gruppe OPNHomeGruppe?
2. Die "Default Deny"-Regel gilt für IPv6 und IPv4 gleichermaßen und verhindert das.

Grüße
Maurice

Danke für die Durchsicht.
0. Meine Intention ist es jeder Schnittstelle mit dem /64 Präfix ein eindeutig identifizierbares Subnetz zuzuordnen. Die Adressvergabe erfolgt über RA der jeweiligen Schnittstelle, SLAAC. So wie ich es verstanden habe, generiert sich jeder Client selber eine Adresse und prüft, ob diese bereits vergeben ist (DAD).Ggfs. generiert er sich eine neue Adresse aus einem /64 Adressraum, was, soweit ich auch dies verstanden habe, doppelt soviel Adressmöglichkeiten wie im gesamten existierenden IPv4 Adressraum bedeutet.
Macht das Sinn?
1. LAN111

Viele Grüße

15

German - Deutsch / Re: Sinnvolle IPv6 Firewallregeln- Sind meine Regeln konsistent?

« on: November 19, 2023, 08:40:29 pm »

2. Selbst wenn die GUA einer Schnittstelle bekannt würde, kann man von "aussen" auf die WebGUI der OPNsense zugreifen oder wird das wie bei IPv4 verhindert?
Den Port habe ich ohnehin geändert.