Messages

Hi,

After updating from 26.1.8 to 26.1.9, 5 Phase 2 connections are displayed for a single IPSec connection.

You cannot view this attachment.

Settings from Phase 2:

You cannot view this attachment.

The same applies to the SA database.
The SP database is normal, with one relationship for each source and destination.

In version 26.1.8, the relationships were unique and not listed multiple times.
Has something changed in version 26.1.9?

Markus

Hallo zusammen,

ich bin auf der Suche nach einer Möglichkeit, Periodic Traffic zu monitoren.
Hintergrund ist das prüfen, ob Daten unkontrolliert abfliesen.

Ich habe das Plugin ntopng installiert. Damit ist das anscheinend möglich, aber nicht in der community edition. Ich sehe in ntopng eine Übersicht über Periodic Activity, kann aber nicht abfragen, was genau passiert (wer sendet oder empfängt). Geschweige denn einen Alarm darauf setzen.

Hat jemand eine andere Lösung für dieses Problem? oder wie kann ich ntopng entsprechend einstellen?
Ich möchte keine externe Infrastruktur aufbauen. Diese Anforderung sollte auf der OPNsense möglich sein.

OPNsense in der Version 26.1.8_5 auf einer Protectli VP6670
Installierte Plugins:
ntopng
redis
wazuh-agent

Grüße
Markus

Hallo ManDal,
so wie sich das anhört, hast Du mehrere Netze über den IPsec-Tunnel geroutet? ist das richtig? wenn ja, prüfe die SAs auf beiden Seiten.
Normalerweise wenn ich VPN site to site IPsec-Tunnels aufbaue, setzte ich erst mal keine Firewallregeln. Denn dann siehts Du wie die Packete in der Firewall aufschlagen (z.B. Ping).
Du schreibst ja, daß der Tunnel stabil steht. Als nächstes müssen die SAs passen und dann noch schritt für schritt die Firewall Regeln setzten, dann passt das.

Grüße
Markus

Hi Elleven,
den Squid produktiv einzusetzen ist ein schwieriges Thema. Wir setzen mehrere OPNsense mit Squid ein in der Konfiguration:
- Transparent
- SSL inspection
- filterung MIME-Types
- Virenscanner Schnittstelle ICAP
- UT1 Blocklisten
- Alias Ausnahmen
- SARG
Aber mit jedem Update der OPNsense ist fraglich ob der Proxy noch komplett funktioniert. Meistens gibt es Probleme. Fragen zu dem Thema werden meist nicht beantwortet.

Wir haben auf 5 Firewalls den Proxy aktuell deaktiviert, was ein sehr unzufriedener Zustand ist.
Mit der aktuellen Version 25.7.10 funktioniert die UT1 Liste über den Link: ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz aber die ausgewählten Kategorien werden mit "Apply" nicht übernommen. Nur ein Neustart des Squid-Services löst das Problem. Aber in der Zeit sind alle User Offline.
Aktuell setzen wir den Squid nur in unserer Testumgebung ein.

Hi,

This workaround is only half the story. In version 25.7.3_7, the blocklist is downloaded after adding it, but the changes are only applied after the Squid service is restarted. Simply "Apply" or "Download ACLs and Applay" is not sufficient. Therefore, the Squid service must be restarted every time a change is made to the "Remote Access Control Lists."

Markus

Hallo BüroMensch,

wie Patrick schon schreibt, gib mal ein paar mehr Informationen.
Denn eine 884VA kann eine Telekomversion sein oder Lancom normal. Gibt es auf der Lancom noch mehrere VPN-Tunnels? denn die Telekomversion kann nur 3 gleichzeitige IPSec-Tunnel (v1 oder v2). Ansonsten mußt Du eine Enterprice Option kaufen. Dann hast Du 5 gleichzeitige Tunnels.
Das einrichten eines IPsec-Tunnels (das ist das VPN, das die Lancom spricht) ist kein größeres Problem. Auf der Lancom den Tunnel mit den Lantools vorkonfigurieren und dann die Feinheiten anpassen. Auf der OPNsense den gegenpart konfigurieren und das wars. Firewallregeln nicht vergessen.

Grüße
Markus

Las mal auf dem Win-Server ein Wireshark mitlaufen und schaue was wirklich passiert.

Gruß
Markus

Hallo,
hat das Problem noch jemand?

Gruß
Markus

Hallo,

ich habe unsere Test OPNsense von 25.1.7 auf 25.1.12 hochgehoben. In der OPNsense läuft der Squid Proxy mit der UT1 und MIME types.
In der 25.1.7 funktionieren die MIME types. Wenn ich ein Test .docx herunterlade wird dies geblockt. Entferne ich den MIME type, wird das .docx als virus erkannt (ist korrekt so, ist ein .docx mit eingebautem Testvirus).
Wenn ich die OPNsense nun update auf 25.1.12, wird das .docx immer über die MIME typs geblockt. selbst wenn ich den Eintrag in den MIME types lösche. Die Änderungen werden erst übernommen, wenn ich den Dienst (squid proxy) neu starte oder die gesamte OPNsense.
Wenn ich dann update auf 25.7 ist das Verhalten genau das selbe. Aber zusätzlich kann ich die UT1 nicht mehr herunterladen. Die Kategorien bleiben  leer.

Gruß
Markus

Hallo zusammen,
Ich habe eine Frage zum Squid-Proxy. OPNsense Version 25.1.5_5 auf einem Protectli VP2420.
Ich nutze den Squid-Proxy im transparenten Modus mit C-ICAP und ClamAV. Die UT1-Blockliste ist ebenfalls aktiv.
Bislang funktioniert alles einwandfrei. Allerdings habe ich das Problem, dass manche Webseiten bis zu 5 Minuten zum Öffnen brauchen.
Dazu gehört zum Beispiel die OPNsense-Forum-Website. Ich erhalte dann unten im Browser eine Meldung, z. B. ,,Suche use.fontawesome.com".
Auch wenn ich die Website mehrmals neu lade, öffnet sie sich.
Liegt das an den Einstellungen von Squid? Hat jemand einen Tip für mich?

Vielen Dank,
Markus

Hello everyone,
I have a question about the Squid proxy. OPNsense version 25.1.5_5 on a Protectli VP2420.
I'm running the Squid proxy in transparent mode with C-ICAP and ClamAV. The UT1 blocklist is also active.
Everything's working fine so far. However, I'm having the problem that some websites take up to 5 minutes to open.
This includes the OPNsense forum website, for example. I then get a message at the bottom of the web browser, e.g., "Look up use.fontawesome.com."
If I reload the website several times, it opens.
Is this a setting issue in Squid?

Thank you very much
Markus

Ich bin einen Schritt weiter. Wenn ich die UT1 liste als https-downlad einhänge, kann ich diese downloaden.
Das Problem liegt am ftp-download.

Der ISP ist K-Net mit Vlan 751 DHCP. MTU-Problem würde man über einen tcpdump gut sehen. Aber im tcpdump ist wirklich nur das SYN-Packet zu sehen. Nicht mal ein SYN-ACK.

Hallo,
ich hätte da mal ein Problem:
Ich habe jetzt 4 OPNsensen erfolgreich von 24.7.12_4 auf 25.1.5_5 aktualisiert. Alle sind fast gleich konfiguriert bis auf den ISP.
- UnboundDNS
- Transparenter Squid mit UT1 Blocklisten
- ClamAV
- ISC DHCPv4
- Monit
- Ntopng
- CrowdSec
- GeoIP Blocking
- IPSec und OpenVPN
- SARG
- VnStat
- Verschiedene Blocklisten für WAN und Lan (Vlans)
- 4x Vlan für verschiedene Netze

Bei dem Letzten Updaten einer OPNsense (Protectli VP2420) ist mir irgendwie Die UT1 Liste im Squid um die Ohren geflogen. Ich kann keine Kategorien mehr auswählen in der UT1 liste (Nothing selected) und alle Kategorien sind weg. Ich habe dann mal unter /var/log in das Systemlog geschaut und siehe da:

fetchACLs.py 67250 - [meta sequenceId="1"] proxy acl: error downloading ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Ich habe dann ein tcpdump mitlaufen lassen und bekomme nur einen SYN auf die IP von der UT1 Liste (heimdall.ut-capitole.fr 193.49.48.249). Namensauflösung funktioniert.
Die OPNsense funktioniert ansonsten ganz normal. Der ClamAV funktioniert auch.

Kann mir jemand helfen, wie ich das Problem beseitigen kann?
Grüße
Markus

Hallo meyergru,

vielen Dank für die Info. Ich habe den  "X-Forwarded-For header handling" auf "do not alter forward header (transparent)" gestellt. Damit wird die öffentliche IP angezeigt.

Vielen Dank nochmal
Markus