Messages

1

19.7 Production Series / Re: IPv6 ULA + track interface

« on: January 16, 2020, 12:35:52 pm »

ULAs can be added as Virtual IPs, but this doesn't survive a reboot because of a bug in OPNsense:

https://github.com/opnsense/core/issues/3310

If you need this feature, please make noise on GitHub. The bug currently doesn't seem to have a very high priority.

Cheers

Maurice

2

German - Deutsch / Re: IPv6 statische IPs und VLAN

« on: December 30, 2019, 07:11:28 pm »

Vielleicht ein Skript schreiben, das immer nach dem Startup ausgeführt wird und den Interfaces nach erfolgter Prefix delegation nohe eine IPv6 ULA erzeugt...

Gib Bescheid, falls Du so etwas hinbekommst.
(Mein Workaround ist tatsächlich die manuelle Rekonfiguration nach jedem Reboot und die Hoffnung auf einen Bugfix in 20.1.)

Grüße

Maurice

3

German - Deutsch / Re: IPv6 statische IPs und VLAN

« on: December 30, 2019, 03:13:19 pm »

ULAs kann man als Virtual IP / IP Alias hinzufügen, läuft aber leider noch nicht hundertprozentig stabil: https://github.com/opnsense/core/issues/3310

4

19.7 Production Series / Re: dyndns getting wrong ip

« on: December 19, 2019, 10:55:17 am »

Is your WAN interface IPv4 address an RFC 6598 address (100.64.0.0/10)? If so, it's basically impossible that incoming connections from the Internet work. Did you test this?

(But you can use the Dynamic DNS Custom service type and configure the update URL to include the interface address: https://www.noip.com/integrate/request)

Cheers

Maurice

5

19.7 Production Series / Re: DHCPv4 Service - Removed domain field vaule, but it's not removed on clients

« on: December 19, 2019, 10:24:12 am »

Did you specify a domain in System / Settings / General?
This will be used if you clear the domain field in the DHCP settings.

Cheers

Maurice

6

19.7 Production Series / Re: DynDNS for ipv4 AND ipv6 ?

« on: December 13, 2019, 05:12:45 pm »

You have to create two dynamic DNS tasks, one for AAAA and one for A. Which unfortunately doesn't work with all dynamic DNS providers. See also:
https://github.com/opnsense/plugins/issues/1611
https://github.com/opnsense/plugins/issues/1612

Cheers

Maurice

7

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 12, 2019, 11:45:52 am »

DG schaltet also DS-Lite, meinst Du vermutlich?

Nein, ich meine Dual-Stack mit CGN. Bei DS-Lite werden IPv4-Pakete in IPv6-Pakete gekapselt. Stichwort B4 / AFTR. Das macht DG nicht.

Denn Dual Stack wäre toll, dann könnte ich per IPv4 von außen drauf.

Geht wie gesagt nicht wegen CGN.

Es gibt viele mittelständige Unernehmen (Rechtsanwälte, Zahnarztpraxen) die einen Internetanschluss mit Zwangstrennung haben.

Die wenigsten Zahnarztpraxen dürften Server im Intranet haben, die direkt aus dem Internet erreichbar sein müssen. Nur dann ist das ja relevant. Außerdem haben Business-Anschlüsse in der Regel ein festes Präfix.

Was wäre denn die Alternative zu OPNSense?
Kann das PFSense, oder Sophos?

Kann dir keinen Marktüberblick anbieten, aber Lancom kann beispielsweise ganz gut mit dynamischen Präfixen umgehen.

8

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 11, 2019, 10:25:22 pm »

DG schaltet Dual-Stack (IPv6 + IPv4). IPv4 allerdings mit CGN, es sind daher nur ausgehende Verbindungen möglich. Wie stabil dort das IPv6-Präfix ist weiß ich nicht. Ausprobieren und dann entscheiden, ob OPNsense die richtige Wahl ist.

Im LAN kannst Du natürlich auch Dual-Stack fahren. ULAs verwendet man meistens zusätzlich zu GUAs für die Kommunikation im Intranet (auch via VPN). Nur ULAs zu verwenden und zu NATen funktioniert tatsächlich auch (NPT). Das empfiehlt sich aber nur in Ausnahmefällen.

Alte IPv4-only Geräte im LAN erreichst Du aus dem Internet am besten via VPN. Falls unbedingt ein Zugriff ohne VPN erforderlich ist wäre ein Proxy eine Möglichkeit. Wobei bei solchen Geräten das Sicherheitsniveau vielleicht sowieso nicht so ist, dass man die direkt aus dem Internet erreichbar machen möchte.

Etwas komplizierter wird es, falls Du auch von alten IPv4-only-Anschlüssen aus auf das Netz zugreifen musst. Das geht dann nur über einen extern gehosteten Dienst (Tunnel etc.).

Grüße

Maurice

9

General Discussion / Re: VPN routing to other subnet over LAN host as gateway

« on: December 11, 2019, 12:05:26 pm »

What about a traceroute in the opposite direction? From a host in the VOIPLAN to a VPN client. Could it be an issue with the L3 "switch"?

Cheers

Maurice

10

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 10, 2019, 12:55:42 pm »

Um einen ISP mit "Zwangstrennung" und ständig wechselndem Präfix würde ich einen großen Bogen machen. Selbst bei vielen 08/15-Consumer-Anschlüssen ist das Präfix de facto statisch (wenn auch nicht offiziell).

OPNsense tut sich in der Tat noch schwer mit dynamischen Präfixen. Entweder anderen ISP nehmen oder eine Firewall, die damit besser umgehen kann.

Bei reinen IPv6-Anschlüssen bieten die ISPs in der Regel DS-Lite, NAT64 o. Ä. an, einen eigenen "Proxy" für ausgehende IPv4-Verbindungen brauchst Du daher nicht.

Außerdem würde ich zusätzlich ULAs einsetzen, damit bist Du zumindest intern unabhängig vom Präfix, das der Provider delegiert.

Das interne Netz solltest Du so weit wie möglich auf IPv6 umstellen. Wahrscheinlich wirst Du ein paar ältere Geräte haben, die das nicht unterstützen. Falls die aus dem Internet erreichbar sein sollen: VPN.

Grüße

Maurice

11

General Discussion / Re: connect multiple vpn users in lan to a vpn serveur

« on: December 06, 2019, 07:44:35 pm »

my version is OPNsense 16.7.14

Is that a typo?

12

German - Deutsch / Re: lagg und vlan sowohl für wan wie auch lan eine gute idee

« on: December 02, 2019, 11:17:40 pm »

Eigentlich war der plan direkt vom modem über ein Vlan auf einen Windows Server 2012R2 zu gehen und dort eine Virtuelle Firewall zu betreiben.
Leider war die Leistung total Schlecht. Speedtest wie auch ping waren ok, allerdings war der Seitenaufbau Total Langsam.

Das ist erstaunlich, denn so ein Setup ist nicht unüblich. Auch hier läuft u. A. eine OPNsense in Hyper-V auf einem Windows Server 2012 R2, und zwar auf ziemlich betagter Hardware. Falls der Server sowieso vorhanden ist und immer läuft würde ich das nochmal angehen.
Machst Du das VLAN-Tagging in Hyper-V oder direkt in OPNsense? Würde immer ersteres empfehlen.

Ob sich Link Aggregation hier lohnt ist fraglich. Bringt auf jeden Fall mehr Komplexität in den Aufbau und das sollte gerechtfertigt sein. Es hätte nur dann einen Vorteil, falls Du sehr viel gerouteten Traffic zwischen den verschiedenen LANs hast. Dann würde ich es testen. Anderenfalls: Ein Port für das WAN und einer für die LANs. Ob Du das Modem direkt an die OPNsense hängst oder über den Switch gehst ist dann egal.

Grüße

Maurice

13

19.7 Production Series / Re: How to block internet access for one device vs IPv6 ?

« on: December 01, 2019, 02:20:38 pm »

With OPNsense this can currently only be done with a static IPv6 prefix. It's not possible to create firewall rules which work with dynamic prefixes. I think this is work in progress (other firewalls can do it).

Whether your prefix is static or not, you have to ask your ISP. On a business plan it should be, on a consumer plan it usually isn't. But even if you don't officially get a static prefix, many ISPs won't change it for months or even years. You'll have to find out. Just make sure "Prevent release" is enabled in the WAN interface DHCPv6 settings.

Like fabian explained, even with a static prefix, it only works when using stateful DHCPv6 (not supported by all devices) or disabling privacy extensions on the device (also not possible on some devices).

A more robust approach would be moving the device(s) to a separate "no Internet" (V)LAN.

Cheers

Maurice

14

19.7 Production Series / Re: OPNsense time is 1 minute slow; affecting TOTP

« on: November 29, 2019, 03:01:59 am »

Disabling NTP in OPNsense and letting the Hyper-V time sync integration service do its magic is definitely the way to go. No configuration required. The Hyper-V host's clock needs to be accurate, so make sure Windows syncs to a reliable time server.

Cheers

Maurice

15

German - Deutsch / Re: RDP Verbindung über VPN herstellen

« on: November 27, 2019, 12:06:17 pm »

RDP wäre dann nicht mehr über die öffentliche IP-Adresse des Windows-Servers erreichbar, aber über die öffentliche IP-Adresse der OPNsense. Was wäre damit gewonnen? Dass der Port anders ist? Und dafür der ganze Aufwand?
Falls es nur um den RDP-Port geht, ändere den doch einfach direkt auf den Windows-Servern.

Grüße

Maurice