Messages

Hallo,

ich habe mir als Basis für meine OPNsense ein Supermicro X11SBA-LN4F mit Intel Pentium N3700, 4C/4T, 1.60-2.40GHz und 4GB RAM gekauft.

Soweit war ich beim Testen zufrieden.
Wenn ich jetzt allerdings größere Daten inkl. Routing zwischen den VLANs (Subnetze) verschiebe, dann komme ich nicht mehr auf das Dashboard oder ähnliches.
Ich befürchte die CPU ist am Limit.
Allerdings kann ich es nicht verifizieren, weil ich während der Kopieraktion nicht mehr auf die GUI komme.
Gibt es eine Möglichkeit die Last in einer Datei zu Loggen und nach der Kopieraktion CPU- und RAM-Auslastung zu checken?

Firewallregel passt, du hast halt in General das komplette Auth logging deaktiviert, eventuell verpasst du da wichtige Meldungen?

Ich hatte die letzten Tage leide rnicht viel Zeit darum habe ich leider nicht geantwortet. Entschuldigung.
Du hattest den passenden Tipp.
Ich konnte das Problem jetzt lösen und der Login funktioniert nun ohne Probleme! :)

Jetzt wäre nur noch eine Frage aktuell offen.
Egal was ich beim "Default EAP Type" angebe es erfolgt die Authentifizierung immer TLS.
Ebenso ist es egal was ich an meinem Windows Testnotebook als EAP-Typ zur Authentifizierung angebe es wird beim korrekten Benutzer und Passwort immer einer erfolgreiche Authentifizierung erreicht.
Wählt der Freeradius Server auf der OPNsense immer die Authentifizierungsmethode die möglich ist egal was bei "Default EAP Type" angegeben wird?

Hast du auch schon einen User zum testen. Sieht eigentlich gut aus

Ja, wenn ich mich an einer Windows Maschine mit diesem User versuche anzumelden, dann kommt die Fehlermeldung.
Aber ich gehe doch recht mit der Vermutung, dass ich mit meiner Anfrage auf jeden Fall bis zum Radius Server durchkomme und an den Firewall regeln sicher kein Problem mehr sein sollte?

Ich habe mal drei Screenshots angehängt.

Fehlermeldung sowie General Setting als auch Clients.

Die IP der Firewall halt, wo der Switch seine IP hat. Und wenn nicht schon erlaubt brauchst du noch ne Firewallregel

OK, jetzt ist es schon besser, aber ich bekomme immer noch die Meldung:
Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 192.168.1.253 port 49205 proto udp

In der Firewall wird alles im Management Netz durchgelassen und den Switch mit der 192.168.1.253 habe ich beim FreeRADIUS als Cliet hinzugefügt.

Weiß vielleicht jemand was ich noch anpassen muss?

Dann brauchst du nur das Plugin und musst bei System : Access nix machen:)

OK, danke!
Aber welche IP muss ich dann im Switch einstellen, dass dieser den Radius Server erreichen kann?
Die 127.0.0.1 kann es ja nicht sein!

Was willst du denn erreichen?

Per Radius-Server Endgeräte in definierte VLANs eingliedern lassen.
Dazu muss ich jetzt aber am Switch eine IP-Adresse für den Radius Server angeben.

Danke. Das mit der IP steht auch sehr verständlich und gut in der Anleitung.

Nochmal eine kurze Frage zum Verständnis.
Ohne den Server unter Radius-Server unter "System=>Access=>Servers" einzutragen funktioniert nichts?

Das "Enable" unter "Service=>Freeradius=>General" ist nur um das Plugin zu aktivieren nicht wirklich den Radius Server mit der IP 127.0.0.1?

Und welche IP trage ich dann eigentlich im Switch ein?
Die 127.0.0.1 ist ja Localhost und somit sicher nicht richtig!

Hallo,

kann mir vielleicht bitte jemand erklären wie
"Shared Secret" unter "System=>Access=>Servers"
und
"Secret" unter "Services=>FreeRADIUS=>Clients=>Edit Client" zusammenhängen?

Müssen Sie beide befüllt werden und falls ja mit dem selben String?

Also ich habe jetzt in der Fritzbox die statische Route gesetzt.
Netzwerk: 192.168.1.0
Subnetz: 255.255.255.0
Gateway: 192.168.178.3

Jetzt erreiche ich schon per Ping von der VM im Fritz-LAN die 192.168.1.100 im Subnetz der OPNsense. Das ist das Supermicro-Board auf dem inzwischen die Sense läuft.
Allerdings erreiche ich per Ping den Switch (192.168.1.253) im selben Subnetz nicht.

Kann mir vielleicht nochmal jemand einen Tipp geben was ich hier noch ändern muss?

Ja, aber woher soll die Fritte wissen, dass hinter der 192.168.178.3 auch das 192.168.1.0/xx liegt? ;-)

Vielen Dank für die Erklärung.

Das heißt ohne der statischen Route hat mir die Fritzbox die Anfrage ins Internet geschickt und somit ins Nirvana?

Wenn ich mehrere Subnetze hätte, dann müsste ich für jedes in der Fritzbox so eine statische Route anlegen.
Haben diese statischen Routen in der Fritzbox weitere negative Aspekte oder stellen gar ein Sicherheitsrisiko dar?

Hast du auf der Fritzbox eine statische Route für das Netz 192.168.1.0/24 eingetragen?

Nein, ich dachte die Fritzbox kommuniziert mit der OPNsense nur über die 192.168.178.3.

Hallo,

aktuell betreibe ich zu Testgründen noch eine OPNsense hinter einer Fritzbox, also Doppel-NAT.


Ich möchte gerne von meinem ESXi Server im Fritznetz auf ein Subnetz der OPNsense zugreifen, aber das gelingt mir bisher nicht.

Der Aufbau ist folgender:

Code Select Expand


WAN / Internet
            :
            : Provider
            :
      .-----+-----.                  .-----------.
      | Fritzbox  +------------------+ESXi-Server| 192.168.178.10
      '-----+-----'                  .-----------.
            |
        WAN | IP 192.168.173.3
            |
      .-----+------. 
      |  OPNsense  |
      '-----+------'   
            |
        LAN | 192.168.1.1
            |
      .-----+------.
      | LAN-Switch | (IP-Switch: 192.168.1.253)
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Was ich bisher geschafft habe, dass ich eine Regel eingerichtet habe, dass ich von einer VM des  ESXi Server auf die GUI der OPNsense komme. Soweit so gut.

Allerdings komme ich von dieser VM nicht in das Subnetz 192.168.1.1 in dem der Switch mit der IP 192.168.1.253 hängt.
Ich habe auch schon in einer Regal bei "Firewall: NAT: Outbound" das NAT mit der Option "Do not NAT" für die IP der VM deaktiviert, aber es geht einfach nicht.

Ist das aus technischen Gründen vielleicht überhaupt nicht möglich?
Mir geht es jetzt wirklich auch darum um zu Lernen. Ich könnte einfach den Server ins Subnetz 192.168.1.1 der Sense hängen und es geht. Aber dann habe ich hieraus nichts gelernt und auch nichts verstanden! :)

Hat eigentlich von euch jemand einen Switch von MikroTik in Verwendung und kann sie empfehlen.
Die Geräte scheinen sehr lange Updates zu bekommen und sind selbst neu noch erschwinglich.

Interessant finde ich folgende Geräte:

• CRS326-24G-2S+RM: https://mikrotik.com/product/CRS326-24G-2SplusRM
• CRS354-48G-4S+2Q+RM: https://mikrotik.com/product/crs354_48g_4splus2qplusrm
• RS354-48P-4S+2Q+RM: https://mikrotik.com/product/crs354_48p_4s_2q_rm

Hat die vielleicht jemand von euch erfolgreich im Betrieb oder kann mir von Mikrotik abraten?
Bzw. hat jemand vielleicht Mikrotiks Dot1X (https://help.mikrotik.com/docs/display/ROS/Dot1X) mit einer OPNsense + Freeradius Plugin am laufen und kann bestätigen, dass dynamische VLANs per Radius Server funktionieren?

Habe gebrauchte Cisco SG200 im Einsatz.

Kann der SG200 eigentlich auch "MAC based VLAN"?
Die Geräte scheinen gebraucht wirklich recht günstig zu sein und auf den ersten Blick sehe ich keinen Hacken.

Weißt du zufällig was die großen Brüder SG220, SG250 und SG350 mehr bzw. besser können?