Messages

Hello,

This happened to me 2 times, I find that it is not normal.
My ISP is in PPPoE mode, so, there is an account and a password to establish the connection.

If I ever touch the WAN configuration for example, uncheck the "Block private networks" box
or when I touched some "OPEN VPN" configuration (but unfortunately, I forgot the circumstance), PPPoE will disconnect and almost impossible to reconnect, even a router restart did not help.

I found that in such a situation, if I go to Interfaces/Point-to-Point/Devices, and I modify the pppoe0 interface in question, and enter the PPPoE user and password again, it will help, even though I never changed my password.

really weird, and I don't trust myself anymore that I should activate OPENVPN during my trips... because I risk losing the entire Internet access for my house.

Have you experienced the same problem?

Thanks a lot

[24.7.b_127] est-il une bogue? WAN PPPoE ne peut plus établir la connexion...

Bonjour,

Cela m'est arrivé 2 fois,  mais je trouve que ce n'est pas normale.
Mon FAI est en mode PPPoE,  donc, il y a un compte et un mdp pour établir la connexion.

Si jamais je touche la configuration de WAN par exemple,  décocher la case "Block private networks"
ou lorsque j'ai touché certaines configuration de "OPEN VPN" (mais malheureusement,  j'ai oublié la circonstance),  PPPoE va se déconnecté et presqu'impossible de reconnecter,  même un redémarrage du routeur n'a pas aidé.

j'ai constaté que dans une telle situation,  si je vais dans Interfaces--Point-to-Point--Devices,  et je modifie l'interface pppoe0 en question,  et saisir à nouveau l'utilisateur et le mdp du PPPoE,  cela va aider.

vraiment bizarre, et je ne me fait plus confiance que je devrais activer OPENVPN pendant mes voyages...car je risque de perdre l'accès d'Internet au complet pour ma maison.

Avez-vous vécu le même problème?

Merci

Bon,  finalement je pense que j'ai trouvé une solution.

En bref,  je crois que mon OPNSense ne traite pas les accès entrants de l'Internet qui sont arrivés sur l'interface PPPOE dans un VLAN qui représente mon IP d'Internet, en fait,  anciennement lorsque mon WAN était sur DHCP simple,  son IP est la vraie adresse IP sur l'Internet,  donc,  la définition de destination dans NAT---Port Forward était correcte,  mais lorsque mon FAI a tourné vers PPPOE sur Fibre,  et PIRE, avec tag VLAN,  OPNSense ne peut plus donner la vraie IP sur l'Internet à sa variable qui représente "WAN" (je pense,  corrigez moi si vous connaissez l'intérieur de la programmation du système),    CAR JE NE SUIS PAS EN MESURE DE CAPTURER LES PAQUETS ENTRANT SUR "wan" en port définit dans mon NAT.

J'ai imaginé que OPNSense ne peut pas transférer une IP dans un VLAN à son WAN ,  c'était la mauvaise IP WAN affichée  dans Dashboard qui m'a donné cette inspiration...

Bon,  voici ma solution "chère", notez que vous devriez déjà préalablement faire fonctionner votre accès d'Internet pour PPPoE en VLAN sur votre OPNSense....., si non pas trop de sens d'essayer:

1. Acheté un commutateur géré (avec support de VLAN) sur Amazon.ca,  ça coûte à peu près 60 CAD.
2. Définir 2 ports physiques de ce switch (commutateur)  en VLAN ID 40 ,  un Tagged, l'autre Untagged.
3. Brancher le WAN physique avec le port Untagged de mon switch,  ce port permet de transmettre tous les trafics(paquets) sans info tag en provenance de mon routeur OPNSense avec le VLAN 40 où le modem est quand même.
4. Brancher le port LAN du modem fibre de FAI sur le port Tagged de VLAN ID 40
5. Changer  "Interfaces: Point-to-Point: Devices: Link interface(s)" vers la vraie interface physique, ici c'est "igb1" ,  au lieu de l'option "VLAN01" qui est une définition dans "Interfaces: Other Types: VLAN"

Cela veut dire:  ÉVITER D'UTILISER VLAN AVEC la conf PPPOE dans OPNSense

Après cela,  j'ai dû saisir à nouveau le mdp de PPPOE et faire un Save/Apply et redémarrage de OPNSense.
Puis,  ça fonctionne mon NAT (Port Forwarding) sans faire aucune modification sur les règles NAT / WAN!

c'est une bogue de OPNSense ou bien j'ai simplement mal compris comment configurer NAT avec PPPOE sur WAN?

J'ai vérifié dans Firewall: Log Files: Live View pour le port entrant défini dans NAT,  et j'ai lancé une demande d'accès depuis un appareil habituel qui est sur l'Internet,  il n'y aucun record détecté (j'ai activé sur la règle automatiquement généré),  je pense que c'est à cause que OPNsense utilise IP wan AU LIEU DE l'adresse de PPPOE, et pas possible de choisir "PPPOE"comme destination....

ce qui est bizaare,  malgré que le Dashboard en Web GUI dise la mauvaise adresse d'Internet,
mais, si je me connecte sur la console en ssh,  je vois la bonne adresse d'internet pour  WAN (pppoe0)

Bonjour,

Je pense que ça n'a pas besoin tant que tu n'as pas encore une règle Port Forward de NAT permettant un accès en provenance de l'Internet,  car il y a une règle par défaut sur WAN qui bloque toutes les connexions initialisées des adresses de l'Internet (voir la copie d'écran).

Mais,  si tu as une règle NAT (port forwarding) fonctionnel,  tu auras besoin de bloquer des adresses connues comme mauvaises intentions....par exemple ton 89.a.b.c  ,  tu peux aussi définir une liste de "Host" dans Firewall-Alias, et créer une règle block/reject sur le WAN (Firewall-Rules-Wan) en choisissant la liste de "Host" préalablement défini par toi.

Si je ne me suis pas trompé...

Bonjour,

J'ai une configuration de "Port Forward" dans NAT afin d'accepter les demandes d'accès de l'Internet vers certains serveurs chez moi,  ça fonctionnait très bien.   Bien entendu, avec une fonction de DDNS pour la traduction de nom sur l'Internet.

Depuis que le FAI m'a offert une solution Fibre qui utilise PPPoe (avec vlan tag), le problème commence.

Car:

1.  L'adresse WAN n'est plus la vraie adresse sur l'Internet, ce qui est affiché comme WAN_GW dans Dashboard est,  disons adresse A, mais si on consulte un site pour afficher mon IP sur l'Internet,  est d'autre chose, disons adresse B.

2.  Dans les règles de Port Forward de NAT,  il n'y a pas de ligne pouvant se représenter l'interface PPPOE....(voir svp la pièce jointe)  ,  même chose pour les règles dans Rule--Wan

Cependant,  si je vais dans le menu Dashboard [New] ,  OPNSense est capable d'afficher ma vraie adresse ip B sur l'Internet.  Donc,  j'imagine que OPNSense est capable de saisir mon ip d'Internet,  juste il faut une définition?

Qqn pourrait m'aider pour régler ce problème?

Gros merci!

(dans la 3e image attachée,  c'est la fausse adresse d'Internet,  lorsque j'étais avec DHCP de l'ancien modem de FAI ,  elle était la bonne adresse d'Internet,  mais maintenant non plus.

Merci pour votre réponse.

Ce qui est bizarre,  j'avais déjà créé 2 certificats,  1 est self-signed, l'autre est créé à partir du self-signed.

Et lorsque je clique sur Trust---Certificates,  il affiche toujours "Loading....."  et si on clique sur le bouton +  dans cette page,  pas de réaction.

Bonjour, 

J'ai créé un serveur OpenVPN avec un CA (self)  prédéfini ,  semble-t-il que le service OpenVPN roule sans erreur.  Cependant,  lorsque j'ai fait un "Client Export" ,  je vois la phrase "(none) Exclude certificate from export"  et cela cause un grand problème sur le client OPENVPN sur Android (aussi pour le client sur Windows) que je ne peux plus importer le CA demandé individuellement,  notez que je pouvais télécharger le CA que j'ai défini depuis la page "System: Trust: Authorities" .

Avec le fichier exporté de "Client Export",  je peux ajouter un site dans le client OpenVPN,  mais lors de la connexion,  le client dit:  "mbed TLS ca certificate is undefined"  ,  avec un autre client plus récent,  il dit OpenSSLContext: CA not defined,  malgré que j'ai choisi d'improter le CA,  il dit ce n'est pas un P12...

Je n'ai pas compris pourquoi il n'y a pas de possibilité de choisir d'inclure le certificat dans le fichier exporté?

Est-ce que je me suis trompé qqch ?

Merci à l'avance

Bon, finalement, j'ai trouvé la solution dans l'article ci-bas :
https://www.reddit.com/r/opnsense/comments/13grgnf/just_moved_to_opnsense_unable_to_connect_to/?rdt=51218

Je ne suis pas là seule personne ayant ce problème, au fond, c'est la fonction Anti DDOS qui a causé le problème. Aussitôt on choisi de "Always" vers "Never" pour  "Enable syncookies", les sites FB, Instagram et la fonction vocale de WhatsApp deviennent fonctionnelles.

Peut être, mieux d'essayer avec l'option Adaptative pour trouver un point d'équilibre entre la sécurité et le fonctionnement des sites...
À voir.

Bonjour Franco,

J'ai appliqué cette correctif ,  il a réglé le problème,  un gros merci à vous! :D

De plus,  il a non seulement réglé le problème dans la page system_advanced_firewall.php,  mais aussi réglé le problème similaire dans la page system_advanced_admin.php

Bonne journée! 8)

===============
Hello Franco,

I applied this fix, it fixed the problem, many thanks to you!

Moreover, it not only fixed the issue in the system_advanced_firewall.php page, but also fixed the similar issue in the system_advanced_admin.php page

Good day!

limité par la taille des pièces d'un seul message,  je me permets d'attacher les pièces individuellement
notez que j'ai fait une règle "country black list" ,  même si j'enlève ça,  le problème persiste.

Merci Franco, 
C'est une bonne nouvelle!

Thank you very much Franco, I'm waiting impatiently :)
my english is poor :)

je m'excuse,  je viens de me rendre compte que non seulement les clips vocaux,  mais aussi les photos sont bloqués par OPNsense  si j'envoie par WhatsApp...

et les autres sites sont fonctonnels,  si je me fie sur la règle "Deny All" sur la première ligne....  les autres sites devraient être aussi bloqués,  non? lol

Bonjour,

J'ai un problème avec les règles par  défaut sur lesquels je ne peux rien faire.
Lorsque j'envoie un message vocale dans WhatsApp,  il ne sort même pas,  cependant,  les messages en texte peuvent être envoyés,  aussitôt que je désactivé wifi de mon cell,  les messages vocaux sortent par data de cellulaire...

Après avoir analysé dans les logs,  je me suis rendu compte que, c'est bloqué par :

Default deny / state violation rule  sur LAN

Lorsque j'ai affiché les règles par défaut,  j'ai vu que cette Deny est sur la première place.... j'ai l'impression que c'est illogique....

Pour tests,  j'ai désactivé toutes les règles deny tels que spamhaus_drop ET spamhaus_edrop,  problème persiste.

Pour Instagram.com ,  c'est aussi bloqué par cette règle par défaut.... cependant,  j'ai vérifié mes propres règles, aucun problème...

Merci