Messages

Hallo zusammen,

folgende Problematik:

Ich möchte an eine Opnsense zwei weitere Opnsense per Wireguard S2S VPN anbinden. Grundsätzlich wäre dies nicht das Problem. Leider haben beide Außenstellen den gleichen IP Adressbereich und dies ist auch nicht änderbar. Gibt es eine Möglichkeit, dass ich den Tunnel zu einer Firewall per NAT übersetze? Wenn ja, wie? Geplant wäre das Netz der FW1 auf 192.168.177.0/24 zu übersetzen.

HQ: 192.168.100.0/24
FW1: 192.168.178.0/24 -> NAT zu 192.168.177.0/24
FW2: 192.168.178.0/24



----------------------------------------------------------------------------------------------------------

Hello everyone,

I have the following problem:

I would like to connect two more Opnsense to one Opnsense via Wireguard S2S VPN. In principle, this would not be a problem. Unfortunately, both remote sites have the same IP address range and this cannot be changed. Is there a way to translate the tunnel to a firewall via NAT? If so, how? The plan would be to translate the network of FW1 to 192.168.177.0/24.

HQ: 192.168.100.0/24
FW1: 192.168.178.0/24 -> NAT to 192.168.177.0/24
FW2: 192.168.178.0/24

I have just submitted the data

I installed the latest Zenarmor update 1.18.1 this morning. After the update, the web interface was no longer accessible. After a few minutes it was accessible again. I can access the firewall normally via SSH. Have you ever experienced similar behavior?

--------------------------------------------------------------------------------------------------------------------------------

Ich habe heute morgen das aktuellste Zenarmor Update 1.18.1 installiert. Nach dem Update war das Webinterface nicht mehr erreichbar. Nach einigen Minuten war dieses wieder erreichbar. Per SSH komme ich ganz normal auf die Firewall. Habt ihr schon einmal ein ähnliches Verhalten gehabt?

Hallo zusammen,

auf meiner Opnsense kommt es immer mal wieder zu einem interessanten Phänomen. Von Zeit zu Zeit passiert es, dass der Webfilter nicht mehr funktioniert. Soeben ist es zum Bespiel passiert, nachdem ich eine Ausnahme eingetragen haben. Zwar hat der Webfilter noch die Filterstufe hinterlegt, aber die Kategorien sind alle erlaubt. Wenn ich die Filterstufe nochmal neu setze, funktioniert wieder alles ohne Probleme. Ich habe den Eindruck, dass das nach Updates oder Konfigurationsanpassungen passiert. Hat jemand von euch ein ähnliches Problem schon mal gehabt.

--------------------------------------------------------------------------

Hello everyone,

An interesting phenomenon occurs on my Opnsense from time to time. From time to time, the web filter stops working. Just now, for example, it happened after I entered an exception. The web filter still has the filter level stored, but the categories are all allowed. If I set the filter level again, everything works again without any problems. I have the impression that this happens after updates or configuration adjustments. Have any of you ever had a similar problem?

Hallo zusammen,

aktuell nutze ich die Opnsense als VPN Hub, um mich an meine Kunden anzubinden. Der Großteil per Wireguard, ein kleiner Teil per Openvpn und ein paar per IPSec.

Nun konnte ich wieder einige weitere Kunden hinzu gewinnen, kann dieser allerdings nicht anbinden, da die Netze des Kunden mit bereits angebunden Kunden kollidieren.

Ich würde die Netze gerne in eine Art Transfernetz natten. Somit könnte ich auch zukünftig ohne weiteres neue Kundensysteme per VPN anbinden.

Es existiert von Opnsense eine Anleitung wie man NAT bei identischen Netzen mit IPSec löst. Ist das auch mit Wireguard bzw. Openvpn umsetzbar? Wenn ja, wie?

Als Randnotiz: Die VPN Endpoints auf der gegenüberliegenden Seite sind unterschiedlichste Geräte. Fritzbox / Opnsense / Pritunl usw...

Vielen Dank schon einmal für eure Unterstützung!

---------------------------------------------------------------------------------------------------------------------------

Hello everyone,

I am currently using Opnsense as a VPN hub to connect to my customers. The majority via Wireguard, a small part via Openvpn and a few via IPSec.

Now I've been able to acquire a few more customers, but I can't connect them because the customer's networks collide with customers who are already connected.

I would like to integrate the networks into a kind of transfer network. This would also allow me to connect new customer systems via VPN in the future.

There are instructions from Opnsense on how to solve NAT for identical networks with IPSec. Can this also be implemented with Wireguard or Openvpn? If so, how?

As a side note: The VPN endpoints on the opposite side are different devices. Fritzbox / Opnsense / Pritunl etc...

Thank you very much for your support!

Hi, ich habe das Problem nicht weiter verfolgt. Ich habe damit begonnen, meine VPN Site2Site Tunnel auf Wireguard umzustellen. Grüße

Hallo zusammen,

seit dem letzten Update lässt sich der Openvpn Verbindungsstatus nicht mehr öffnen.
Ist euch dazu schon etwas bekannt?

###############################################################

Hello all,

since the last update the openvpn connection status can not be opened.
Do you already know something about this?

###############################################################

Error:

[13-Apr-2023 05:41:24 Europe/Berlin] ValueError: Array sizes are inconsistent in /usr/local/opnsense/mvc/app/controllers/OPNsense/Base/ApiControllerBase.php:73
Stack trace:
#0 /usr/local/opnsense/mvc/app/controllers/OPNsense/Base/ApiControllerBase.php(73): array_multisort(Array, 4, 14, Array)
#1 /usr/local/opnsense/mvc/app/controllers/OPNsense/OpenVPN/Api/ServiceController.php(111): OPNsense\Base\ApiControllerBase->searchRecordsetBase(Array)
#2 [internal function]: OPNsense\OpenVPN\Api\ServiceController->searchSessionsAction()
#3 [internal function]: Phalcon\Dispatcher\AbstractDispatcher->callActionMethod(Object(OPNsense\OpenVPN\Api\ServiceController), 'searchSessionsA...', Array)
#4 [internal function]: Phalcon\Dispatcher\AbstractDispatcher->dispatch()
#5 /usr/local/opnsense/www/api.php(24): Phalcon\Mvc\Application->handle('/api/openvpn/se...')
#6 {main}

Grüße Stefan

Hallo zusammen,

ich nutze eine Opnsense als zentralen VPN Gateway. Leider muss ich an diesen nun 2 DSL-Lite Anschlüsse per IPSec anbinden. Einen Anschluss konnte ich bereits anbinden. Hierfür musste ich als Remotegateway 0.0.0.0 nutzen. Möchte ich nun einen Zweiten anbinden, erhalte ich die Fehlermeldung:

Das entfernte Gateway "0.0.0.0" ist bereits in Benutzung von Phase1 "xxxxx".

Wie kann ich diesen Problem umgehen? Besteht die Möglichkeit mehrere Tunnel mit dem "fernen Gateway" 0.0.0.0 anzulegen?

Grüße

####################################################################

Hello all,

I use an Opnsense as a central VPN gateway. Unfortunately, I now have to connect 2 DSL-Lite ports to it via IPSec. One connection I could already connect. For this I had to use 0.0.0.0 as remote gateway. If I now want to connect a second, I get the error message:

The remote gateway "0.0.0.0" is already in use by Phase1 "xxxxx".

How can I work around this problem? Is it possible to create multiple tunnels with the "remote gateway" 0.0.0.0?

Greetings

Hello all,

just for your information. The bug has been fixed with the latest release of Zenarmor and Opnsense. Have a nice weekend everyone!

Hallo Zusammen,

evtl. seid ihr schon mal über folgendes Phänomen gestolpert.

Wenn ich einen Ikev1 VPN Tunnel anlege, werden automatisch die angehängten Firewall Rules erzeugt. Sobald ich den Tunnel fertig konfiguriert habe auf beiden Seiten und dieser aufgebaut werden sollte, laufen die eingehenden VPN Requests gegen die "Default Block Rule". Löse ich die automatisch generierten Regeln auf und erzeuge Sie selbst, funktioniert es. Liegt hier ein Bug im IPSec VPN vor?

-----------------------------------------------------------------------------------------------------------------------------

Hello together,

maybe you have encountered the following phenomenon.

When I create an Ikev1 VPN tunnel, the attached firewall rules are created automatically. As soon as I have finished configuring the tunnel on both sides and it should be established, the incoming VPN requests run against the "Default Block Rule". If I remove the automatically generated rules and create them myself, it works. Is there a bug in the IPSec VPN?

I will have a look at the script. Thanks for your support.

Hi,

no, I have not tested that. Thanks!

Honestly, I must confess, I find it a great pity that Wireguard does not simply try to connect again.

Greetings

Hello,

the described behavior of Wireguard is unfortunately normal at the moment. I have also talked to colleagues again. The problem also exists in the same form with Mikrotik or under Linux directly. So for the moment I will continue to stay with Openvpn. I use some VPN Site2Site connections with dynamic IP. Under Openvpn this works without problems.

Greetings

Hello Jim,

I think I have found the problem. The error was caused by the Zenarmor plugin. I have also read several times that the current version should have a bug. Let's wait and see. Thanks for your help anyway.

Greetings

Hi Jim,

the System ist on this Hardware installed:

https://www.ipu-system.de/produkte/ipu641.html