Messages

Hello guys,

I found out a solution for this issue... I need to use this to upload ISO Images to my Proxmox VE.

Here is a step by step guide (OPNsense 24.7.6)
In NGINX Configuration click:
1. Edit your HTTP Server profile
2. Enable "advanced mode"
3. Scroll down to "Maximum Body Size" and enter a big value like "8192m" for 8GB

Hint: after reviewing this, the field seems empty when you edit the profile again. But in config preview the settings are still valid.

This works for me...

Geee! thank you!

I was wondering, if somebody has some good manual for troubleshooting / creating whitelists from the learning mode logs?

Niemand?

Hallo Leute

Ich habe auf meiner OPNSense NGINX als Reverse Proxy am laufen.
Dahinter verbergen sich die Synology Apps (Photo, drive, notes).

Nun funktioniert der Zugriff generell gut. Jedoch habe ich gewisse HTTP 405 wenn ich die WAF Rules aktiviere.

Ich habe versucht, anhand der Logs eine Whitelisting Rule zu definieren, jedoch erfolglos.

Im Netz habe ich keine Hilfestellung gefunden und wäre froh wenn mir jemand aushelfen könnte, bzw mir den Learning Mode erklären könnte.

Logs:

*4130 NAXSI_FMT: ip=X.X.X.X&server=url.ch&uri=/webapi/entry.cgi/SYNO.Core.Desktop.PersonalUpdater&config=block&rid=e50283b79324242d18e03a23d45055bb&cscore0=$policyd0a48e979a7c4f7a9eb7172fb4a36f03&score0=8&zone0=URL&id0=1000&var_name0=&zone1=BODY&id1=1000&var_name1=api, client: X.X.X.X, server: url.ch, request: "POST /webapi/entry.cgi/SYNO.Core.Desktop.PersonalUpdater HTTP/2.0", host: "url.ch", referrer: "https://url.ch/?launchApp=SYNO.Foto.Sharing.AppInstance&app_name=SYNO.Foto.AppInstance&photos_action=external_login&folderId=-1&alias=photo"

Hey Leute

Icha habe eine spezifische Anfrage, eventuell gibt es auch elegantere Lösungen hierfür.
Jedoch bin ich zum Thema nginx noch eher anfänger und wäre um inputs froh.

Setup:
Ich nutze die OPNSense als reverseproxy für einen Service "seite.com/eingang/"

Funktioniert auch super.
Jedoch möchte ich die Default Pages (html files) unter " /usr/local/etc/nginx/views " damit keine Infos bezüglich OPNSense (Logo/TExt) angezeigt werden.

Vor dem Update habe ich die Sites verändert.
Nun, wie angenommen, sind die Sites nach dem Update wieder zurückgesetzt.

Weiss jemand wo ich in der Config eine andere Default Page referenzieren kann oder wie ich die Seite permanent ändern kann?

Gruss
JellyB

Hallo zusammen

Danke für die Tipps!

@meyergru:
Der Trick mit dem .profile hat geholfen! Wunderbar ;D

@Tuxtom007:
Da ich Gelegentlich über das CLI Änderungen mache (und Gelegentlich nicht weiss was ich genau tue) möchte ich auf diesem Weg ein Savepoint forcieren. (analog Cisco "write")

Jedenfalls, danke für die Hilfe

Hallo meyergru

Danke vorab für die schnelle Antwort.

Also nur als klarstellung,ich nutze einen dedizierten user mit admin rechten, welche ich explizit mit der shell "/usr/local/bin/bash " aufrufe. also nicht csh sondern bash.

Leider klappt dies so nicht :-( anderer tipp?

Hallo Leute

Ich habe einen kleinen Skript der mir erlaubt ein Backup auf mein NAS zu transferieren.
Da ich gelegentlich etwas per CLI verändere, möchte ich daher vorher die Config sichern.

Dafür habe ich folgenden Befehl der ich per bash aufrufe:

alias BACKUP="bash /home/XXX/bin/backup.sh"

Dies funktioniert aber nur solange ich eingeloggt bin, danach verschwindet der Alias wieder.

Ich habe schon versucht dies per ~/.bashrc einzubinden, wobei die Datei standardweise nicht vorhanden ist und leider erfolglos bleibt.

Hat jemand einen Tipp?

LG
Jelly

Nach Stundenlanger suche habe ich den Fehler gefunden.
Erklären weshalb es passiert ist weiss ich leider nicht.
Es wurden keine Änderungen durchgeführt.
Jedoch sind die LAN Subnetzte hinter den jeweiligen FW nicht mehr durch den IPSec Tunnel (bzw. VTI) geroutet worden.

Mittels netstat -rn konnte ich die Routing Tabelle einsehen und habe die Einträge mit folgenden per CLI gesetzt:

OPN1
route add -net 192.168.2.0/24 10.10.12.2

OPN2
route add -net 10.10.1.0/24 10.10.12.1

Vielleichts hilfts ja jemanden.

Hey Leute

Seit kurzem funktioniert mein IPSec Tunnel für S2S nicht mehr.

Meldungen wenn ich den per CLI starten möchte:

root@OPN1:~ # /usr/local/sbin/ipsec start
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Starting strongSwan 5.9.10 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
no files found matching '/usr/local/etc/ipsec.conf'
failed to open config file '/usr/local/etc/ipsec.conf'
unable to start strongSwan -- fatal errors in config

Phase1 kommt hoch aber Phase2 bleibt irgendwie aus...

Hatte jemand letztes das gleiche Problem, bzw. kann mir helfen das zu troubleshooten?

Alles auf dem aktuellen Stand von 23.1.7_3


Nachtrag:

Ich glaube die Logs sind irrelevant.
Zur Zeit sehe ich kein Traffic auf dem VTI. Wenn ich von meinem LAN Interface auf der FW Richtung VTI Interface pinge wird dies auf dem WAN interface angezeigt.

Danke
Jelly

Ciao TPF

Top! Ich habe den NAT Modus von "automatic" auf Hybrid umgestellt und dann noch eine Regel für mein LAN2 Netzwerk definiert.
Danach hat es geklappt.
Danke für die schnelle Hilfe :-*

[192.168.2.1]

Hallo zusammen

Ich habe nun einige Zeit investiert und mehrere Stunden Troubleshooting hintermir. Jedoch ohne Erfolg.
Folgendes Szenario.

Ich habe 2 Standorte welche mit einem IPSec S2S Tunnel verbunden sind.
Der Zugriff zwischen den 2 LANs über den S2S Tunnel funktioniert tadellos.

Jedoch kann ich nicht von LAN1 auf den DSL Router von Standort2 zugreifen und umgekehrt.

Zur Veranschaulichung:

Code Select Expand

                                                                                                                   
                                                                                                                   
                                                                                                                   
+--------------+                   Internet                +--------------+                                       
|  Standort1   | ----------------------------------------- |  Standort1   |                                       
|  DSL Router1 |                                           |  DSL Router1 |                                       
+--------------+                                           +--------------+                                       
        | 192.168.1.1/24                                           | 192.168.3.1/24                               
        |                                                          |                                               
        | 192.168.1.2/24                                           | 192.168.3.2/24                               
  +----------+                                               +----------+                                         
  |          |                IPSEC Tunnel                   |          |                                         
  | OPNSense1|      -------------------------------------    |OPNSense2 |                                         
  |          |      10.10.12.2                    10.10.12.1 |          |                                         
  |          |                                               |          |                                         
  +----------+                                               +----------+                                         
       |  192.168.2.1/24                                          |  10.10.1.1/24                                 
       |                                                          |                                               
       |                                                          |                                               
+---------------+                                          +---------------+                                       
|    LAN1       |                                          |    LAN2       |                                       
|192.168.2.0/24 |                                          | 10.10.1.0/24  |                                       
|               |                                          |               |                                       
+---------------+                                          +---------------+                                       




Ich habe schon diverse Packet Traces und Firewall Logs analysiert.
Folgender Usecase:
Ping von
Client1: 192.168.2.181
Destination: 192.168.3.1

Strecke:
192.168.2.181 -> 192.168.2.1 -> 10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1
und zurück für den Echo Reply. (Fett sind die Gateways)

Funktioniert nicht. Laut Packet Trace bleibt der Echo Reply von WAN Interface von Standort2 und danach auf dem IPSec Interface von Standort 2 nicht mehr sichtbar.

Wenn ich nun folgendes versuche klappt es jedoch ohne Probleme

Ping von:
10.10.12.2
Destination: 192.168.3.1

Strecke:
10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1


Technisch gesehen habe ich eine Route auf der OPNSense2 konfiguriert:
Network: 192.168.2.0/24; Gateway IPSEC_GW - 10.10.12.1

Hat jemand eine Idee wo hier das Problem liegen könnte?

Gruss & danke Jelly

Hallo Lewald

Danke für die Antwort.
Leider hat dein Lösungsansatz nichts gebracht.

Ich warte lieber bis OPNSense dies als offizielles Paket raus bringt und bis dahin nutze ich einen IPSec Tunnel.

Gruss
Jelly

[Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow]

Hallo allerseits
Ich habe seit längerer Zeit zwei Standorte mit jeweils einer OPNSense auf einem APU Board erstellt und funktionierte bis jetzt tadellos.
Bis anhin nutze ich Wireguard als VPN und zum jeweiligen Standort zu verbinden.
Jetzt möchte ich allerdings die beiden FW per Wireguard als S2S VPN konfigurieren und laut Dokumentation von OPNSense sollte ja das kinderleicht sein.

Ich habe also eine neue WG Instanz erstellt (wg1) und die jeweiligen local und endpoints eingerichtet. (theoretisch das gleiche wie bei der wg0 Instanz nur mit anderen listener Ports.
Jedoch hatte ich beim ersten mal gewisse Fehler und habe darauf hin die WG1 Instanz nochmals komplett entfernt.

Nun beim zweiten Mal, habe ich die Instanz nochmals sauber aufgesetzt nur leider sehe ich dann keine Instanz, kein WG Interface (ich kann auch keines zuweisen weil es in der Liste nicht erscheint) und auch keine FW Rules für WGS2S / WG1 im Dashboard bzw. im "List Configuration" Tab.

Nach mehrmaligen Reloaden der Büchse und des WG Service hat sich leider nichts verändert.
Ich sehe über die Shell folgende Fehlermeldung wenn ich den WG Service neu starte:

# service wireguard start
wg-quick: `wg0' already exists

• ifconfig wg create name wg1
  [!] Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow userspace implementation.
  
• wireguard-go wg1
  ┌──────────────────────────────────────────────────────┐
  │                                                      │
  │   Running wireguard-go is not required because this  │
  │   kernel has first class support for WireGuard. For  │
  │   information on installing the kernel module,       │
  │   please visit:                                      │
  │         https://www.wireguard.com/install/           │
  │                                                      │
  └──────────────────────────────────────────────────────┘
  
• wg setconf wg1 /dev/stdin
  
• ifconfig wg1 inet 10.10.12.2/24 alias
  
• ifconfig wg1 mtu 1420
  
• ifconfig wg1 up
  
• route -q -n add -inet 10.10.12.2/32 -interface wg1
  
• rm -f /var/run/wireguard/wg1.sock
  
  Hat jemand das gleiche Problem oder eine Ahnung wie ich das lösen kann?
  
  OS: OPNsense 22.7_4