Messages

Understood, thanks!
Is it advisable to disable the Interface and only activate it if there's something to check on the modem?

argh sorry, made a really dumb mistake here...
My wireguard was configured to x.x.10.x as well ...


I now put the modem into another one and it just worked.... :)

should I switch back to VIP configuration or doesnt it matter at all?

First try to ping the device from OpnSense CLI itself.

Gotcha, of course it doesnt work :D no route to host

If that works - without the possibility to add a back route from the modem - you need a working NAT rule. How that must be done depends largely on your WAN setup (i.e. DHCP / VLAN / PPPoE), but essentially has to be done via a manual NAT rule that is prioritized higher than automatic rules from the LAN network on the interface that the modem is connected to and with exactly the VIP address.

I use PPPoE and the Vigor 167 modem is in bridge mode.
Does that mean I cant use the hybrid rules and instead have to setup the automatic rules manually but then order them under the new one for that modem access?
Anything that could be setup in the modem to make my life easier?

This rule potentially does not use the WAN link, but its underlying interface, e.g. in the case of PPPoE.

Is that an automatic thing or do I need to create like MODEM Interface on igc1 and use that instead?

@meyerguru: I just connected the modem directly to a notebook which was manually set to x.x.11.5 --> immediate access to the modem

found out the IP definitely is x.x.11.2


any idea why the connection from LAN still wouldnt work?
from a client I can ping the x.x.11.1 but not the .2

I know but I had an old interface named Modem which had the .1
Seems like I tried something in the past and then gave up :D

sorry, hab deine antwort total übersehen...

Ja.
Jedoch sind da sämtliche Plugin-Konfigurationen (bspw. Adguard) unter zusammengefasst und können somit nur gemeinsam wiederhergestellt werden, jedenfalls soweit ich weiß.

das ist nicht schlimm, will nur gegen Ausfall des eMMC Speichers oder der ganzen Protecli Box sichern.

Wenn die Interfaces gleich gemappt sind, dann kann ich ja theoretisch sogar auf anderer hardware wiederherstellen, oder?

Das kommt drauf an, was dir die Logs wert sind.
Im geschäftlichen Umfeld müssen einige davon gesichert werden

Ist nur privat und ich hab jetzt nichts was ich vermissen würde, aber vielleicht gibts ja noch allgemeine system logs oder so, die vielleicht zeigen was da passiert ist beim Ausfall

Und rclone hast du auf OPNsense installiert?

jo, ist auch nur für den testweise upload in irgendeine cloud gewesen.
wenn ichs auf meinem server habe ist das mit der cloud ja auch eher unnötig (ich hab noch ein separates remote backup woanders hin)

Du könntest es auch auf dem Server ausführen und OPNsense ebenfalls als Remote einrichten.
Auch könntest du die das Konfig-File mit scp bzw. mit ssh temporär auf den Server sichern und von da in die Cloud.

Ja so der plan, ich wollte nur wissen, welche Dateipfade ich noch mit in das Backup schmeißen muss und ob ich die Daten alle mit nem leseneden User kriege oder ob mir da irgendwelche geschützten Systemdatein reingrätschen.

OPNsense hat auch Cloud-Backup bereits integriert. Weitere lassen sich meines Wissens mittels Plugins hinzufügen.
Ich nutze seit kurzem das Nextcloud Backup mit Verschlüsselung. Funktioniert bisher tadellos.

Genau das tu ich ja aktuell, nur halt auf ein custom ziel, das nicht per default schon vorkonfiguriert ist --> webdav

Trying to get this running but i suspect i made a mistake.

my lan client is in x.x.100.0
im pretty sure the ip of my modem is x.x.11.2

so i created a vip x.x.11.1

but I cant get access to the modem...




the problem is I cant even verify the ip of the modem...
is there any chance to check that easily?


i was pretty sure as well I set up the LAN2 on the draytec vigor 167, but didnt write that down and now forgot...


just thinking about it... as it should be in bridge mode, is there any bigger issues with just factory resetting it, setting the ip again and put it in bridge mode again?did I forget anything?

Ich meine ich habe keine anderen Plugins laufen...
Muss ich dann nur /usr/local/AdGuardHome/ sichern?


Unbound, Wireguard und sowas ist alles in dem config backup drin?
Oder lohnt es vielleicht noch irgendwelche Logs oder so zu sichern?

Wird das rclone config mitgesichert?



Das nutze ich bisher für ein Custom Command bei den Cronjobs, damit ich auf meinen kostenlosen Bitrix24 Speicher komme:

rclone mit webdav url konfiguriert

Dann das skript erstellt:

Code Select Expand

#!/bin/sh
# OPNsense Config Backup nach Bitrix24 via rclone

BACKUPFILE="/conf/config.xml"
DEST="bitrix24:OPNsense-Backups/config-$(date +%F).xml"

# Upload mit rclone
/usr/local/bin/rclone --config /root/.config/rclone/rclone.conf copy /conf/config.xml bitrix24:OPNsense-Backups/config-$(date +%F).xml


Ich glaube das war die Lösung, wie man das ganze als Command bei den Cronjobs hinterlegt:

Code Select Expand

Skript als ausführbaren ,,Service" anlegen:

vi /usr/local/etc/rc.d/rclone_backup


Inhalt:

#!/bin/sh
# PROVIDE: rclone_backup
# REQUIRE: LOGIN
# KEYWORD: shutdown

. /etc/rc.subr

name="rclone_backup"
rcvar="rclone_backup_enable"

command="/usr/local/etc/opnsense-rclone-backup.sh"
pidfile="/var/run/${name}.pid"

load_rc_config $name
: ${rclone_backup_enable:="NO"}

run_rc_command "$1"


Rechte setzen:

chmod +x /usr/local/etc/rc.d/rclone_backup


Service starten/stoppen:

Aktivieren:

sysrc rclone_backup_enable="YES"


Starten:

service rclone_backup start


Stoppen:

service rclone_backup stop


Jetzt könnte ich das Skript entsprechend erweitern, dass auch die anderen Orte gesichert werden und ich kann mir das gepackte Archiv auch auf Unraid ziehen.


Einverstanden so weit oder hab ich hier nen groben Schnitzer drin?

Nabend :)

Könnt ihr mir Tipps geben, wie ich meine Box am besten sicher?
Da ich sie ohne extra Festplatte nur im eMMC Speicher meines Protectli V1410 betreibe habe ich mich bei der Installation damals für UFS entschieden.

Mir schwebt ein (wöchtenliches?!) rsync script vor, das ich auf meinem Unraid Server laufen lasse, welches sich einfach alle relevanten Dateien (ggfls. mit eigenem User auf der OPNsense) pullt, so dass von der OPNsense kein Schreibzugriff auf meinen Server möglich ist und dass auch der Backup User auf der OPNsense nur lesen kann und so ein kein Sicherheitsrisiko darstellt.

Welche Orte müsste ich sichern, dass die erstellten config backups von OPNsense und die configs von z.B. Adguard sicher sind?
Hat ein nur lesender User die nötigen Rechte um wirklich alles zu kopieren?

Danke für eure Tipps/Einschätzungen

Muss ich bei Gelegenheit mal aufschrauben, ja.

Ich hatte die Vorstellung, dass der Prozessor eine Verbindung zum Gehäuse hat?!
Die 24 grad drop sind ja immerhin CPU temp und die wird innen gemessen, das ist also schon mal sehr gut.

Ich hab die emmc Variante, da könnte ich höchstens ne Kühlkörper drauf kleben vermute ich...

Wenn der Speicher irgendwann verreckt, dann kann man ja einfach ne SSD reinhauen und gut ist... Und wenn die wieder ein paar Jahre lebt...

Ich glaube Bilder sprechen mehr als Worte...
Kühlt die Dinger!!! :)
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Und noch ein Update, das Problem saß mal wieder vorm PC...
Ich hab den ddclient nochmal neu installiert, alles bei DuckDNS nochmal eingetippt und es lief sofort.
Hätte bei dem letzten Update der IP Adresse vor einer Woche skeptisch werden müssen, ich hab ne automatische Zwangstrennung bei o2 nach X Stunden, die hätte gar keine Woche überleben können.

Ach Mann, wie dumm...
Naja, vielleicht hilft es wem anders, auch bei DuckDNS die IP nochmal zu checken, ob sie auch wirklich bis auf die letzte Ziffer stimmt...

edit: Noch weiter Ursachenforschung betrieben.... Ich hatte bisher den DuckDNS Service auf Unraid laufen, aber da offensichtlich nicht mitgekriegt, dass der Service deaktiviert war. Und dann vermutlich was falsch auf der OPNsense konfiguriert und eben nicht ric htig die tatsächliche IP Adresse abgeglichen...

Schlüssel stimmen überall?

Ich richte den Schlüssel ja über den Peer Generator ein, da kannst ja nicht mal was falsch kopieren.

SChlüssel hab ich auch nochmal in den ersten und dritten Post reingeschrieben, die passen doch so, oder?!

Hmm, aber es geht ja nix als Antwort zurück, oder übersehe ich was?

Du hast ja ein Interface assigned für den Tunnel, kommen darauf Pakete an?

Ne da seh ich gar nichts.


EDIT: Mist, ich hatte bei dem Versuch noch aus Versehen Wifi an, das macht natürlich wenig Sinn...
Wenn ich Wifi ausschalte passiert nichts mehr, null komma gar nichts. Weder auf WAN noch auf HomeWireGuard

Wie kann das sein?!

ah sorry, natürlich.. Kommt an sobald ich am Handy verbinde...

You cannot view this attachment.



So siehts im Firewall Log aus:
You cannot view this attachment.


Hier noch die Config in der Android App:
Interface:
Public Key: 0Cy****
Adressen: 10.10.11.2/32

Peer:
Public Key: 5zp***
Erlaubte IPs 0.0.0.0/0, ::0
Endpunkt: ***.duckns.org:51821

Mit folgenden Settings:
You cannot view this attachment.

Firewall WAN Regel:
You cannot view this attachment.

Regel fürs Wireguard Interface
You cannot view this attachment.

Und die Normalization Settings aus der Anleitung
You cannot view this attachment.



Ich kriege aber keinen Handshake laut Android App Protokoll.


Habt ihr noch ne Idee?