Messages

1

German - Deutsch / Re: Clients im Lan feste IP zuweisen

« on: December 20, 2022, 05:41:39 am »

Moin,

ist hier ähnlich.

Services -> DHCPv4 -> leases

Da dann das + hinter dem lease drücken und eine statische IP vergeben

2

German - Deutsch / Re: Opnsense OpenVpn Status auslesen

« on: December 15, 2022, 04:39:31 pm »

Du kannst das https://github.com/bashclub/check-opnsense/tree/testing doch nehmen, ja kannst du auch erweitern mit zusätzlichen scripts wie beim original.

Pfad ist ein wenig spackig. /usr/local/local bzw. auch /usr/local/local/300 ablegen wie beim orginal um nur alle 5min abzurufen.

PS: das testing branch ist aus welchen Gründen auch immer noch nicht ins main geschoben. Das ist aber bei vielen Leuten so im Einsatz. 0.99 ist die aktuelle Version

3

22.7 Legacy Series / Re: 22.7.2 -> 22.7.9 update fails

« on: December 07, 2022, 10:46:02 am »

touch /var/log/radacct
and
mkdir /var/run/radiusd

and then redo the update fixed this somehow for me

4

German - Deutsch / Re: Unbound Host Override funktioniert nicht mehr

« on: September 12, 2022, 08:39:40 am »

Moin,

hab keine reverse Zonen in der Sense, aber im Proxmox Mailgateway das selbe, das die nicht wollten.

Erst als ich unter
server:
     unblock-lan-zones: yes
     domain-insecure: "0.168.192.in-addr.arpa"

hinzugefügt hatte funktionierte es.
War aber wie gesagt NICHT opnsense sondern PMG mit unbound.
Evtl. mal unter advanced testen.

5

German - Deutsch / Re: [Neuling] Frage zu einem Switch

« on: June 29, 2022, 05:39:21 am »

Moin,

also wie auch immer du auf den Trichter mit Switch und alles gleiche IP gekommen bist ... oO  .. vergiss es, das ist natürlich nicht so.

Da du aber generell nicht so in der Netzwerk Materie drin zu sein scheints.

Installier die die Standard OPNsense und Probiere erstmal rum, sie macht auf den ersten Blick die Arbeit eigentlich genau wie deine Fritzbox.

VLAN etc brauchst du nicht, macht die Sache unnötig komplizierter.

WLAN solltest du dir ein standalone suchen und nicht die Sense dafür verwenden. Unifi ist da recht einfach setzt aber auch zusätzliche Geräte vorraus (Controlller)

Was den DNS Server angeht. Was genau willst du denn machen? Wenn es nur darum geht ein paar lokale Server mit A records zu versorgen reicht dir auch der unbound. Dort kannst du auch unter den overrides A/AAAA und MX anlegen.

6

German - Deutsch / Re: CheckMK Agent Standalone

« on: June 28, 2022, 06:15:55 pm »

Falls jemand ein bisschen testen möchte.
Derzeit bei Version 0.95

* CARP
* Audit
* Nginx (nur anfang noch nicht brauchbar / Feedback wäre nice was in die Stats soll. - response 1xx,2xx,3xx.....)


https://nc.cloudistboese.de/index.php/s/8LmMSbXgDJMjCZr

7

German - Deutsch / Re: DHCP-Server stellt keine leases aus wenn im HA-Cluster die Backup-FW offline ist

« on: June 28, 2022, 06:11:53 pm »

Du hast die Subnetmaske auf dem VIP mode CARP auf dem gleichen Wert wie das Interface?
NICHT /32

8

German - Deutsch / Re: ein zertifikat pro vpn-user oder eins für alle?

« on: June 02, 2022, 05:51:22 pm »

nein brauchst du nicht

aber das mit dem revoken kann ja auch bei einem User nicht ganz uninteresant sein wenn ein gerät verloren ist.

Außerdem siehst du so im Dashboard welches Gerät da gerade verbunden ist

9

German - Deutsch / Re: Umzug auf virtuell Überlegungen

« on: June 02, 2022, 05:50:11 pm »

Ein opnsense cluster auf einer Hardware macht keinen großen Sinn, komplizierteres Setup WAN/CARP geht nur mit 3 public IPs oder eben Private IPs wenn zB einen Fritzbox davor steht.

Proxmox und ZFS snapshots (zfs autosnapshot) lässt dich die Firewall VM recht schnell wieder herstellen wenn es denn tatsächlich zu einem fehler kommt.

Der Vorteil bei einer Virtualisierung ist das die Virtuelle Hardware auch auf unterschiedlicher Hardware (Netzwerkkarten) die gleiche ist, das heißt wenn du einen Offline Ersatzserver hast könntest du im HW Ausfall diesen auch schnell mit der aktuellen Config auf den gleichen Stand bringen.

Lässt sich übrigens auch mit ZFS send und wakeonlan etc automatisch machen, das zB alle 24Std ein wakeonlan an einen zweiten proxmox geschickt wird und die VM(s) per zfs send auf den Ersatzserver kopiert werden, und der zweite Server dann wieder ausgeschaltet wird.

Es geht allerdings auch jeder andere alte Rechner auf dem die gleiche virtualisierung läuft.

So kannst du im Notfall schnell das Internet wiederherstellen (und den Familienfrieden retten)

10

German - Deutsch / Re: CheckMK Agent Standalone

« on: June 01, 2022, 02:48:39 pm »

Moin,

ja, das geht ... ist (da noch nicht als Plugin umgebaut) ein wenig unschön da BASEDIR /usr/local ist
das /usr/local/local Verzeichnis das ansonsten auch bekannte local Verzeichniss in dem du eigene Scripts ablegen kannst und die auch die Cache Funktionalität wie beim Original haben (local/3600/myscript.sh führt alle Std. aus).

Das smart Plugin hatte ich vorher für andere Dinge auch schon mal neu geschrieben da mich manche Dinge beim Original störten.
mkp liegt hier https://nc.cloudistboese.de/index.php/s/EQ5xqXsmoWQe2S8
und das local script (für andere checkmk Installationen) liegt hier https://nc.cloudistboese.de/index.php/s/GK3SD5sZJxNynMx

11

German - Deutsch / Re: APIPA-Adresse routen

« on: May 18, 2022, 11:57:21 am »

SNAT eingerichtet?
Die 10er IP muss zur 169.254.2.2 werden. /30 hätte ich auch nicht genommen sondern den offiziellen /16 da die andere Seite das ja wahrscheinlich auch hat.

12

German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...

« on: May 10, 2022, 04:55:13 pm »

zu 2. er schrieb VLAN und VLAN fähiger Switch, daher uninteressant geht auch mit 1 Port
zu 3 und 4. jede sense verhält sich in den Netzen der FB und LTE Router wie ein ganz normaler PC. Portforwading auf die einzelnen Hosts ist nicht nötig, lediglich auf die CARP IP im jeweiligen Netz.

Du wirst bei allen Setups immer den CPE als SPOF haben, solange du nicht vom Provider ein VRRP Setup aufgestellt bekommst.
Als redundanz für den Ausfall der FB kannst du dir einfach eine zweite hinstellen, default Netz jeder FB ist das 192.168.178.x daher kannst du die einfach tauschen, nur den exposed Host auf die CARP IP setzen und Zugang konfigurierien bzw. Autoprovisioning nutzen

Der Switch wäre genauso ein SPOF, könntest du aber auch mittels MLAG fähigen switchen mit besagten r210 mit 2Ports nutzen, wäre aber sicher bloated, denn auch da ließe sich für den ausfall ein zweites gerät mit gleicher config hinstellen.

Es geht nach oben immer viel, Frage ist ob es sich lohnt.

13

German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...

« on: May 10, 2022, 07:09:42 am »

Moin,

Hardware sieht soweit nutzbar aus.
Beide opnsense mit je einem Interface (phy oder vlan) in Fritzbox Netz und LTE Router Netz hängen.
Fritznetz: 192.168.178.x  da kannst du .10 für opnsense1 und .20 für opnsense2 nehmen carp if dann zB. .15
LTE netz: 192.168.0.x                          .10 für opnsense1 und .20 für opnsense2                                     .15

auf Fritzbox legst du die.15 als gerät mit fester IP ein und leitest alle Ports (oder auch nur bestimmte zB 1194 etc je nach belieben) auf dieses Gerät

auf beiden sense legst du dann noch dein eigentliches internes netz an (am besten auch mit .10/.20 und .15 als CARP)
DHCP auf beiden sensen konfigurieren mit GW auf die .15 dest lokalen Netz
Achtung beim einrichten der CARP IP die richtige Subnetzgröße wählen die dem Netz auch wirklich entspricht (manche howtos schreiben was von /32 ... das ist falsch und dann funktioniert DHCP Failover nicht)

Gatewaygruppen auf beiden sense einrichten mit policy wie du es gern hättest (failover oder loadbalance)

Eigentlich sollte das reichen, sonst nochmal nachfragen wenn was fehlt

14

German - Deutsch / Re: Fail Over WAN wird nicht als Offline angezeigt

« on: April 07, 2022, 08:18:39 am »

ich mach immer einen traceroute über das Gateway auf z.B. 1.1.1.1 und suche mir dann so den 2-4 Hop raus der vom Namen her auf etwas wie FRA/AMS etc. etwas über Peer schließen lässt. Dann kann es zwar immer noch sein das z.B. die Verbindung nur bis dorthin geht und dahinter eine Verbindung ins Internet nicht möglich ist und ich dadurch Störungen habe. Das kann ich aber auch anders herum haben wenn ich z.B. 1.1.1.1 als Monitoring setze und es Probleme bei deinem Provider zu cloudflare DNS gibt, der Rest des Internets aber geht. Ist dann auch ärgerlich, da bei Multi-WAN das Interface dann down geht obwohl fast alles geht und du auf eine evtl. langsamere Backup Leitung wechselst.

15

German - Deutsch / Re: HA mit Carp und DHCP funktioniert leider nicht

« on: March 31, 2022, 04:00:43 pm »

gleiches Setup hier, hab ich auch lange mit Probleme gehabt.
War aber ein Problem auf Layer 8.
Bei den CARP VIPs ist es wichtig das auch die richtige CIDR eingetragen ist, also nicht aus versehen /32.
Mit /32 geht so ziemlich alles andere auch ohne Probleme nur halt das DHCP nicht.
Unter Security im Distributed switch promisc, mac change, forge transmit erlauben.

Aber das entscheidende war die CIDR Range, die genauso wie beim Interface sein muss.
Wenn pfsync configuriert ist