Messages

Hi, I tried to create a PowerShell script as Cedrik suggested, but I struggle.
As I never worked with the API commands before, I read the API documentation and did some exercises.
For testing purposes, I created a bash script with a curl command:

API_KEY="my Api key"
API_SECRET="my api secret"

# Base64 encode credentials
ENCODED_CREDENTIALS=$(echo -n "$API_KEY:$API_SECRET" | base64)

curl -k -v "https://opnsense-ip/api/auth/user/add" \
  -u "$API_KEY:$API_SECRET" \
  -H "Content-Type: application/json" \
  -d '{
        "username": "test",
        "password": "securepassword123",
        "group_memberships": ["admins"]
      }'

but this returns a "failed" message.

My intention is to enable the MS AD users for OpenVPN and of course it would be great if I delete one AD user,
the OpenVPN "dial in" for this user is deleted as well. Perhaps I am completely on the wrong track.
I am happy for any kind of hints.

Diese Übersicht habe ich mir auch angeschaut. Für ausgehenden Datenverkehr ist bei mir eigentlich alles erlaubt, so dass ich da keinen Handlungsbedarf für Firewall-Regeln gesehen habe.
Ob ich für eingehenden Datenverkehr was von diesen Ports explizit freigeben muss, hat sich mir auch nicht erschlossen.

Falls ich da falsch liege, bitte Info.

Hallo,
ich bin selbst drauf gekommen. Wie immer sitzt das größte Problem VOR dem Bildschirm.
Bei der Firewall-Regel für die Clients habe ich das das Protokoll versehentlich auf "TCP" eingeschränkt. Da gehört aber "any" rein... und schon hat's funktioniert.
Warum sich dennoch zwei Clients verbinden konnten, ist mir ein Rätsel.

Hallo Leute,

über's Wochenende habe ich in unserer kleinen Firma OPNsense als Firewall implementiert.
Vorweg: Ich befasse mich seit ca. einen halben Jahr damit intensiver bzw. ist mein HomeLab meine "Test-Umgebung".
Vom Setup her recht einfach gelhalten.
ix0 --> SFP GPON von der Telekom als Glasfaser Modem
PPPOE über VLAN7
igb0-->LAN/MGMT
igb2+3 --> LAGG auf HPE ProCurve Switch (OfficeConnect 1620) für VLAN 10,20,30 und 99
VLAN10 = Server
VLAN20 = Clients
VLAN30 = Printer
VLAN99 = VLAN für Test-Zwecke und für kundenspefische Setups
Firewall Aliase angelegt und in den Regeln festgelegt, wer wo zugreifen darf.

Das läuft alles soweit... aber jetzt kommt's  :-\
Wir setzten Office 365 ein und haben MS Teams als Telefon-Anlagen Lösung implementiert (Festnetzanrufe bzw. über Festnetznummer erreichbar).
Auf 2 Clients läuft alles einwandfrei, doch 2 User klagten darüber, dass sie über Teams keine Anrufe tätigen können bzw. nicht erreichbar sind. Es kommt folgende Meldung beim Aufbau eines Anrufs:
Es konnte leider keine Verbindung hergestellt werden. Stellen Sie sicher, dass Sie mit dem Internet verbunden sind, und versuchen Sie es erneut.
Bei einem der betroffenen User habe ich das Laptop über meinen Smartphone HotSpot online gebracht --> Teams-Anrufe problemlos möglich.
Frisch installiertes Laptop griffbereit gehabt. O365 Konto des Benutzers verbunden. Teams Telefonie geht nicht. Gleiche Fehlermeldung wie oben.

Das Schlimme ist, ich hab keine Idee wo ich ansetzen kann um dem Problem auf den Grund zu gehen. Für jeglichen Input bin ich sehr dankbar.

Die NAT-Regel ist fehlerhaft, weil die NAT-Adresse nicht Dein OpnSense WAN-Interface, sondern die Ziel-IP des ONT ist. Außerdem, falls WAN Dein pppoe-Interface ist, wäre auch das falsch.

Die Interface-Hierarchie bei Deiner Variante PPPoE über VLAN 7 ist normalerweise so:

ONT (Physisches Interface, z.B. ax0) mit 10.10.1.2/24 -> VLAN7 (z.B. ax0_vlan7, ohne IP) -> WAN (pppoe0 mit Credentials).

Mich wundert allerdings, dass Du per SSH draufkommst und per HTTP nicht. Vermutlich liegt es daran, dass WAN aktuell nicht pppoe0 ist und dass Du SSH von der OpnSense selbst machst, während Du HTTP vom LAN aus versuchst.

Das solltest Du erstmal glattziehen. Und dann: Warum so kompliziert? Die Netzwerke und IPs stehen als Aliase im Dropdown der NAT-Regel zur Verfügung, die sollte man auch nutzen. Sieht dann so aus wie im Anhang.

Und zum Thema SFP-Modul vs. externer ONT: Wenn Du sowieso ein Glasfaserkabel legst, kannst Du das Modem ja auch neben Deine OpnSense stellen und auch per USV versorgen.

Feedback an dieser Stelle: herzlichen Dank. Mit deiner Anleitung bin ich auf das Web-Interface des Moduls gekommen und auch per SSH vom Client aus... mit den "Standard-Passwörtern" (admin/admin) bzw. admin/1234.
Darauf hin hab ich bei der Telekom Geschäftskunden Technik-Hotline angerufen und den Wunsch geäußert, dass ich das GPON ONT in Betrieb nehmen möchte... Alles, was der nette Herr an der Hotline von mir wissen wollte, war die Modem ID, die auf dem ONT steht. 5 Minuten später war ich mit der OPNSense und über das SFP-Modul online. Eine Modifikation der Daten auf dem Modul war nicht notwendig. Sicherlich habe ich etwas im Vorfeld falsch verstanden. Ergebnis: 500Mbit Down, 100 MBit Up, so wie bestellt.

Als Fallback-Option hab ich noch die Variante verprobt, das Glasfaser-Modem über das bereits gelegt Glasfaserkabel in den Datenschrank zu bringen. Aufgrund der unterschiedlichen Stecker-Typen ging dieser Plan aber nicht auf

Da merkt man wieder, dass ich OPNSense-Anfänger bin... Ich muss gestehen, ich bekomme die SSH-Verbindung mir von der OPNSense aus hin, heißt, ich logge mich per SSH auf den Sense ein, und mach dein ein SSH auf das ONT. Ich zieh das so glatt wie von dir beschrieben.
Außerdem denke ich zu kompliziert. Mit dem bereits verlegten Glasfaserkabel, kann ich ja das Glasfasermodem vom Hausanschlussraum in meinen "Datenschrank" patchen hab die 230V Stromversorgung und die USV und geh einfach mit einem kurz RJ45 Patchkabel drauf. Fertig.

Der Hntergrund ist , warum ich das Zyxel Modul einsetzen will, dass ich damit das Glasfasermodem, das einen extra 230V Anschluss braucht, überflüssig mache. Wir haben hier öfters Stromausfälle. Die OPNsense hängt an der USV, das Modem ist im Hausanschlussraum. Ich dachte, die 25 Meter überbrücke ich einfach mit dem "Glasfaser-Patchkabel" (im PE Rohr durch die Zwischendecke verlegt), Zyxel GPON in den SFP rein und fertig.

Ich komme bis zum SSH-Login, aber keines der Passwörter funktioniert. Ich würde ja gerne die vorgeschlagene Methode zum Passwort-Reset anwenden wollen https://github.com/xvzf/zyxel-gpon-sfp/issues/6 aber scheinbar bin ich einfach zu doof, die OPNSense so zu konfigurieren, dass ich auf das Webinterface des Zyxel Moduls zugreifen kann :(
Ich hab das mit der NAT Regel versucht, aber ich vermute mal, das ist nicht korrekt.

Hast du das Teil am Laufen? Ich weiß z.B. nicht, wie ich das Modul konfigurieren muss um auf das Webinterface zu kommen. Wenn ich die SSH-Befehle absetze, endet das darin, dass ich nicht mehr auf den WebGui der Opnsense zugreifen kann. Mein Modell ist aus Sommer 2023. Ich hab das mit dem neueren Passwort leider noch nicht probieren können.

Ich glaube, die Password-Frage habe ich mir selbst beantwortet.
Schaut mal auf der github-Seite nach wird das Thema mit dem nicht funktionierenden Passwort diskutiert. Ich probiere das morgen aus und bei Erfolg markiere ich den Thread als gelöst.

Hallo zusammen,

für unsere Firma habe eine OPNSense Appliance im 19" Zoll Format gebaut, eine Intel Server-Netzwerkkarte bei 2 SFP Einschüben installiert und bei der Telekom dieses Modul erworben.
https://geschaeftskunden.telekom.de/internet-dsl/produkt/digitalisierungsbox-glasfasermodem-kaufen
Soweit so gut, Modul wird erkannt und kann adressiert werden. Aktuell ist am Glasfaseranschluss noch ein Glasfasermodem. Ich würdoe gern über dieses GPON Modul online gehen. Wie die Einwahl funktioniert (PPPoE, VLAN 7, Zugangsnummer, Anschlusskennung etc.) ist bekannt.
Soweit ich gelesen habe, muss ich "nur" auf dem Modul die PLOAM/SLID/Installationskennung eintragen.
Und hier genau hier ist mein Problem.
Trotz Anleitung https://github.com/xvzf/zyxel-gpon-sfp komme ich nicht auf das Modul.
SSH geht nicht. Es heißt, falsches Passwort.

Wer hat damit Erfahrung und kann mir weiterhelfen?