Messages

Und wenn Du einen ganz anderen Ansatz fahren/ansehen möchtest kannst Du Dir mal Twingate oder Zerotier angucken (kannst auch einen Brückenkopf mit Docker erstellen, so dass Du es nicht auf jedem Topf installieren musst, den Du im internen Netz erreichen willst).

Das wäre dann komplett unabhängig von der Firewall sozusagen. Ich finde das Konzept ziemlich ansprechend und gerade wenn man es mit einem Brückenkopf macht äusserst easy zu konfigurieren.

Hast Du für Deinen VoIP Client die Outbound NAT Regel mit Static Port definiert?

Korrektur - es funktioniert, wenn die Leute mich "anrufen" - aber wenn ich die Leute anrufe wird die Verbindung immer noch nicht aufgebaut, sondern bleibt beim Verbinden hängen. Jedoch sehe ich jetzt keine gedroppten Pakete mehr im Livelog der Firewall.

Noch eine Idee an was das liegen könnte? Ausgehend ist alles auf Durchzug gestellt, sprich von meinem Client aus gibts keine Einschränkungen auf Port Ebene.

Hast Du für Deinen VoIP Client die Outbound NAT Regel mit Static Port definiert?

Das wars - Herzlichen Dank!

Guten Morgen

Ich hab das Problem, dass seit der Umstellung von Sophos zu OpnSense meine VOIP Verbindungen geblockt werden. Der Matrix Server steht im RZ, also ausserhalb meines Netzwerkes und für alle meine Kunden funktioniert das VOIP via Coturn problemlos nur bei mir ist es so, dass die Verbindungen nur dann funktionieren, wenn mein Gegenpart intern (via VPN oder direkt im Netzwerk) sitzt. Hab auch schon im Element Client die "Erlaube P2P" Option deaktiviert, auch das ändert nichts.

Was ich auf der Firewall bei einem Anruf sehe ist, dass auf der WAN Schnittstelle die UDP Verbindungen abgewiesen werden (Default deny/state violation rule) vom Coturn Server bzw. der Gegenstelle .

Aber selbst wenn ich diese Ports dann per UDP freigebe (egal ob auf der WAN Schnittstelle oder aber als Floating Rule) die Verbindung kann nicht aufgebaut werden und im Log erscheinen auch keine Blockmeldungen mehr.

Hat jemand ein Tipp, wie man das löst? Ich wäre äusserst dankbar.

Hey folks

Still struggling with the OPNsense in various topics since im switched from Sophos UTM. This time SNAT.

I got openVPN working, can connect to OPNsense and reach all internal stuff on the LAN interface. But i want to SNAT my openVPN address to the LAN interface address if the traffic goes to the IPSEC VPN's - so i dont have to setup the openVPN network to be routed inside the IPSEC vpns.

As i did read in the manual - SNAT is the same as Outbound NAT and therefore i did try to setup a rule ( i have only manual rule generation on the OPNsense) but whatever i did setup, it didnt work.

So how to achieve this?

I did try to setup a outbound rule with the following specs

Interface: LAN (or openVPN, doesnt matter)
Source: openVPN net
Source Port: *
Destination: intNET_VPNNetworks (grouped all IPSEC VPN Networks)
Destination Port: *
NAT Adress: LAN address
Static Port: No

what happens if you you disconnect one of the interfaces of the LAGG and test the IPSec?

Can you provide a diagram for your test scenario.

No, i didnt try that - but that will maybe worth a try

I'm ended up now to take the LAN back to igb0 and the performance is like on the virtual appliance before - 300-400 Mbit . Maybe its based on my configuration to have LAN and VLAN on the same LAGG - that is the only difference.

I have a strange IPSEC performance gap between virtual appliance and the DEC 3840, which i did buy this week. Before i will start to explain, some pre informations. I want to migrate from Sophos UTM to opnSense, which i did test with a virtual opnSense based on Esxi 6.7 U2 with vmx adapters. So far so good and all is working like expected including the performance on IPSEC, on which i get ~300-400 Mbit on a gigabit internet connection (like before with UTM<->UTM)

Then i did install the DEC 3840 transferred the configuration from the virtual opnSense to the DEC3840. Did work without any issues. The only difference between the virtual and the DEC3840 is based on the LAN which is on the DEC3840 a LAGG on the ax interfaces (10Gbit).

But now i have a poor performance on the IPSEC VPN - instead of getting 300-400 Mbit i only have 80 Mbit in general, and i dont have any clue why this performance is so bad.

Did try to normalize with MSS 1300 on IPSEC, did setup LAN on MSS 1300 (not both together) but the performance doesnt change. The funny part is, if i did use the virtual opnSense for IPSEC VPN and routing the traffic from the DEC 3840 to the virtual, i get the 300-400 Mbit again.

So my question is - on the factsheet of the DEC 3840 they say you can expect >2Gbit IPSEC performance - i know, this is the best effort and i'm happy with 300-400 Mbit, but not with 80. What can be the reason for that? I dont believe its the hardware, it should be powerful enough to handle or isnt it?

 :-\

First i didnt saw that keepalive connections, but now i can see it. My bad, forgetting to set a host for that directive

So for ssh, thats the trick - but all other connections are still unusable after idling ... 3CX phone, RDP, Outlook, Citrix, etc.

As soon as i did minimize them to do some other stuff - when reopen the window from the taskbar i have to wait ~15-20 seconds until the connection came back. Thats very annyoing.

I did never have before problems like this under Sophos UTM - so i'm asking myself why.

[some]

1. This is normal. Connections terminate without a proper close all the time and the firewall needs to have some timeout to drop them from its table.
2. You can try setting

Code Select Expand


  ServerAliveInterval 30

in your SSH config.

Hmm - even with that setting (/home/user/.ssh/config) (in my case, i was first on 30 then going to 15) my connection is still be blocked again after some idle time.

Thanks again

But then i have to split up the default rules into two rules - one with any and one with tcp only on protocol - because on the default rule with protocol any im not able to set this option (because of the error, tcp only).

I'll test that - thanks for your help.

Thanks a lot, but this is not only for SSH a problem also for my outlook client, which is routed over the UTM too (exchange server is in my datacenter behind the tunnel). Was wondering this morning i didnt receive emails even the PMG said, that he delivered some emails to my exchange.

So the question is still - can i set the state type to none or isnt it good idea?

I got a problem, im behind the opnsense, having a connection to a SSH Server (routed to sophos UTM because the ssh server is remote behind a tunnel which is actually still on the UTM, because im not able to connect the opnSense with openVPN to the UTM). Connecting to this server is always possible, but after beeing idle for 10-15 minutes, the opnSense denying access to the ssh server and so on, im not able to do anything in the existing connection.

The firewall log shows me "default deny/state violoation rule" so im guessing this is coming from the setting in the paketfilter rule (default LAN -> *) in the advanced mode, where you can define how the state type should be handled. Per default this is on "keep state" but if this is active, the opnSense will deny any connection after being idle for 10-15 minutes.

When i did set this to none - all is working like expected.

So now my question - is this normal? And is it a good idea to set this to none? Any impacts on security?

Hallo zusammen

Wie es im Titel schon steht, ich bin dran die Sophos mit opnSense abzulösen, weil die "*ç%*ç" Firma namens Sophos mir tierisch auf den Sack geht. Die UTM Reihe (Astaro) ist eines der besten Produkte die ich je gesehen habe und ich bin schon seit Astaro 2.0 mit an Board. Die XG Reihe ist nix für mich, da mir sämtliche "coolen" Features der UTM fehlen (multiple DNS Namen für einen registrierten Host, Kein Letsencrypt (nach nach Jahren nicht), und noch so einiges anderes).

Wenn ich also nun auf ein neues Produkt migrieren soll wo ich eh wieder sehr viel lernen muss, hab ich mich entschieden, nach der Sichtung von pfSense, IpFire, DynFi und opnSense, dass es eben openSense wird.

Nun aber bei der Einarbeitung und Abbildung meiner bestehenden Sophos Konfigurationen bin ich beim Thema DNS Proxy/Authentication Servers auf ein Problem gestossen.

In der UTM gabs die Möglichkeit von "Availability Groups" - das waren Definitionen, bei der mehrere Server gewichtet zusammengefasst wurden. Diese AG's konnte man dann als Ziel bei DNS Proxy, Active Directory Authentifizierung, etc. hinterlegen.

Ich hab schon mehrfach gesucht, aber hab niemanden gefunden, der scheinbar multiple DNS Server hat und die opnSense als Proxy benutzt.

Gibt sowas bei opnSense wie die Availability Group? Ich meiner Recherche kam ich dann irgendwann nur auf die Idee, dass es wohl nur mit HA Proxy gehen würde - dort stehe ich dann aber irgendwie mit der Konfiguration ein bisschen an, da ich ja nicht jeden Server mit jedem Port erfassen will.

Hat jemand von euch schon sowas gemacht? Wäre für einen Hinweis in welche Richtung ich weiter recherchieren muss sehr dankbar.