Messages

Ich möchte vom ipv4 Client die OPNsense erreichen. Dies bewerkstellige ich über feste-ip.net, wo die IPv6 der OPNsense hinterlegt ist. Somit kann der Client den ipv4 dns Eintrag von feste-ip.net verwenden und dort wird dies an die IPv6 der OPNsense weitergeleitet (hoffentlich verständlich ausgedrückt).

Ich habe einen Anschluss der Deutschen Glasfaser und somit keine ipv4 über die ich erreichbar wäre.

Leider wird nicht mehr gelogt, obwohl ich dies in die ovpn Datei eingetragen habe.

Code Select Expand


dev tun
verb 3
persist-tun
persist-key
proto tcp-client
data-ciphers-fallback AES-256-CBC
auth SHA256
client
resolv-retry infinite
remote 192.168.1.1 29930 tcp
lport 0
auth-user-pass


Danke, dann werde ich mal das Loglevel im Client *.ovpn setzen

Code Select Expand


# Set log file verbosity.
verb 3


Den Test innerhalb des LAN's war dafür gedacht, überhaupt eine VPN Verbindung aufbauen zu können. Wenn dies schon nicht funktioniert, dann kann der Rest auch nicht funktionieren - so meine Überlegung. (Klar ohne das routing etc., aber ein established VPN connection ;-))

So, nachdem ich dieses Problem nun lösen könnte, komme ich leider immer noch nicht weiter ;-(

Ich versuche nun im LAN eine VPN Verbindung herzustellen, was leider scheitert.
Auf der OPNsense sehe ich, dass der VPN Dienst an allen Interfaces lauscht.
Ein telnet auf 192.168.1.1 29930 funktioniet auch und zeigt auf der OPNsense ein ESTABLISHED an.

Versuche ich dies nun über den VPN client, passiert gar nichts.
Bin gerade ratlos, wo ich am besten nach dem Fehler suche. Im log auf dem Client steht nur Uhrzeit Frame512/2112/512 mssfix-ctrl=1250

Im log auf der Firewall und filter auf dest_port is 29930 kommt nichts (außer mein telnet).

[edit]
Anbei noch die Konfiguration:

Code Select Expand


root@OPNsense:/var/etc/openvpn # cat server2.conf
dev ovpns2
verb 3
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
script-security 3
daemon openvpn_server2
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA256
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
client-disconnect "/usr/local/opnsense/scripts/openvpn/ovpn_event.py '2'"
tls-server
server 10.10.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/2
verify-client-cert none
username-as-common-name
auth-user-pass-verify "/usr/local/opnsense/scripts/openvpn/ovpn_event.py --defer '2'" via-env
learn-address "/usr/local/opnsense/scripts/openvpn/ovpn_event.py '2'"
lport 29930
management /var/etc/openvpn/server2.sock unix
push "route 192.168.1.0 255.255.255.0"
duplicate-cn
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
tls-auth /var/etc/openvpn/server2.tls-auth 0



[/edit]

Danke.

Ich möchte über feste-ip.net die "statische" IPv6 am WAN kenntlich machen und dort einen Port auf meinen VPN am LAN forwarden.

IPv4:de.portmap64.de:65123 leitet dies an meine IPv6 mit Port 65123 weiter.
Damit ich dies dann auch auf dem LAN IPv6 bekomme, muss ich was genau an der OPNsense einstellen?
FW-Regel mit oder ohne Port-Forwarding?

Ich habe ich irgendwie noch ein Verständnisproblem...

Das "request only a prefix" keine IPv6 am WAN vergibt, klingt logisch. Danke.

Was genau meinst du mit Wireguard-Endpunkt?
Die FW-Regel ist dann quasi wie ein IPv6-Forward auf die lan IPv6?

[edit]
Erhalte nun folgende IPv6 am WAN-Interface
2a00:6020:a199:44a::19ea

Ist dies dann meine "feste IPv6" die von außen erreichbar sein sollte?
Muss meine LAN dann auch mit 2a00:6020:a199:44a beginnen?
[/edit]

Konfiguriert ist das WLAN interface so:
DHCPv6 client configuration
Configuration Mode -> basic
Request only an IPv6 prefix -> gesetzt
Prefix delegation size -> 56    
Send IPv6 prefix hint -> gesetzt
Use IPv4 connectivity -> gesetzt   
Use VLAN priority -> disbled

Mit TP-Box meinte ich FibreTwist-P2411 (da hatte ich mich in der Abkürzung vertan ;-()
DG sollte für Deutsche Glasfaser stehen


Ich kann vom lan aus mit meiner IPv6 pingen, wie oben beschrieben. Ich möchte aber auch von Außen auf die IPv6 am WAN zugreifen können (VPN).

Hallo zusammen,

ich habe meine OPNsense direkt an die TP-Box von DG gehängt. Nach ein paar Problemen beim Booten (RJ45 Kabel zur TP-Box von DB abstecken) habe ich eine IPv6 mehr oder weniger erhalten.

Ich kann vom lan aus mit ping6 zu ipv6.google.com eine ipv6 Adresse anpingen. Auf dem WAN Interface sehe ich jedoch nicht die "feste IPv6". Diese habe ich über https://www.wieistmeineip.de/ ermittelt.

Bei meinem anderen Anschluss habe ich noch einen Genexis der DB und dort sehe ich die vergebene IPv6 für das WAN.

Ist dies normal oder muss ich noch was in den Einstellungen der OPNsense ändern?

Dies hier sehe ich beim ssh login:

Code Select Expand


LAN (igb0)      -> v4: 192.168.1.1/24
                    v6/t6: 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8/64
OPT1 (igb2)     ->
WAN (igb1)      -> v4/DHCP4: 1x.xx.xx.61/16
                    v6/DHCP6: fe80::21a:8cff:fe43:32f9%igb1/64
interconnect (igb3) -> v4: 192.168.101.1/24


Bin geht auch:

Code Select Expand


root@OPNsense:~ # ifconfig igb1
igb1: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: WAN (wan)
options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
ether 00:1a:8c:43:32:f9
inet6 fe80::21a:8cff:fe43:32f9%igb1 prefixlen 64 scopeid 0x2
inet 100.81.158.61 netmask 0xffff0000 broadcast 100.81.255.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
root@OPNsense:~ # ping6 -c2 ipv6.google.com
PING6(56=40+8+8 bytes) 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 --> 2a00:1450:400e:811::200e
16 bytes from 2a00:1450:400e:811::200e, icmp_seq=0 hlim=120 time=7.632 ms
16 bytes from 2a00:1450:400e:811::200e, icmp_seq=1 hlim=120 time=7.480 ms

--- ipv6.l.google.com ping6 statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.480/7.556/7.632/0.076 ms


Danke

Wie hast du das Problem beim Booten lösen können?
Bei mir bleibt das Prompt nun auch bei "Configuring WAN interface..." hängen. Kabel aus und wieder einstecken hat nichts gebracht ;-(

Jetzt hat sich die gesamte OPNsense weggehangen. Komme nur noch per consolen kabel darauf.

Code Select Expand


Setting timezone: Etc/UTC
Writing firmware settings: FreeBSD OPNsense
Writing trust files...done.
Scanning /usr/share/certs/blacklisted for certificates...
Scanning /usr/share/certs/trusted for certificates...
Scanning /usr/local/share/certs for certificates...
Writing trust bundles...done.
Setting hostname: OPNsense.localdomain
Generating /etc/resolv.conf...done.
Generating /etc/hosts...done.
Configuring system logging...done.
Configuring firewall.......done.
Configuring hardware interfaces...done.
Configuring loopback interface...done.
Configuring LAGG interfaces...done.
Configuring VLAN interfaces...done.
Configuring OPT1 interface...done.
Configuring interconnect interface...done.
Configuring LAN interface...done.
Configuring WAN interface...



^CEnter full pathname of shell or RETURN for /bin/sh:
root@OPNsense:/ #
root@OPNsense:/ #
root@OPNsense:/ # ifconfig igb0
igb0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LAN (lan)
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 00:1a:8c:43:32:f8
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::21a:8cff:fe43:32f8%igb0 prefixlen 64 scopeid 0x1
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
root@OPNsense:/ # ifconfig igb1
igb1: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 00:1a:8c:43:32:f9
        inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>


Hallo zusammen,

ich habe einen IPv6 Anschluss (Deutsche Glasfaser) und will über lan IPv4/6 mit IPv6 Portforwarding (oder wan IPv6) meinen Anschluss per IPv6 erreichbar machen. Dazu habe ich bei feste-ip.net die wan IPv6 hinterlegt, so dass ich darüber ein Mapping von IPv4 zur mir nach Hause herstellen kann.
Ich habe dies aktuell auch mit einer sophos genauso laufen.

Bei der OPNsense schaffe ich es nicht, dass ich den VPN-Dienst über IPv6 aus dem Internet erreiche. Intern und von der Firewall selber aus funktioniert es.

Code Select Expand


# internal lan
myuser@myhost ~ % nc -6 -z -w 2 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 29930
Connection to 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 port 29930 [tcp/*] succeeded!

# on OPNsense
root@OPNsense:/var/log # nc -6 -z -w 2 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 29930
Connection to 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 29930 port [tcp/*] succeeded!


Der VPN-Dienst lauscht auch auf allen Interfacen auf diesem Port für IPv4/6

Code Select Expand


root@OPNsense:/var/log # netstat -an | grep 29930
tcp46      0      0 *.29930                *.*                    LISTEN


Sehe auch im log der FW eingehende und ausgehende Pakete, aber es funktioniert einfach nicht. Welche Infos werden noch benötigt oder was könnte ich "vergessen" haben?

Danke und Gruß

Hi,

I would like to get an overview about all my different vpn connections (site-2-site and road warriors). My aim is to determine this on the command line (e.g. vpn connection established) with the right commands and to build a bash/pyhton check which I can integrate to my checkmk monitoring.

Thanks and regards,

Und noch ein Nachtrag:

In checkmk erhalte ich:
Parsing of section statgrab_net failedWARN

Sorry, noch eine Frage.

Das python Skript wird ja als daemon gestartet (sehe ich auch mit ps -aux). Wie kann ich dies nun (am einfachsten) testen?
Arbeite bei lokalen und selbst geschriebenen checks gerne mit check_mk_agent...

Danke!

[edit]
DONE!
Konnte ich mit cmk auf dem checkmk Server testen, bspw. cmk -d hostname
[⁄edit]

Hi,

vielen Dank für das klasse Skript. Allerdings werden diese ganzen Checks bei mir nicht in checkmk angezeigt?
[edit]
--> DONE
[⁄edit]

Zudem würde ich gerne wissen, wie ich die Version aktuell halte?
Wie ich eigene Skripte einbinden kann (habe es so verstanden, dass es über das BASEDIR /usr/local und dann wieder local geht?)?

Vielen Dank und Gruß