Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - lfirewall1243

#1
General Discussion / OpenVPN CVE
April 05, 2025, 07:07:19 AM
Is OPNsense affected. Seems that it's not using Tls-crypt-v2 when you configure the vpn via the gui

https://www.cve.org/CVERecord?id=CVE-2025-2704
#2
24.7, 24.10 Legacy Series / OpenVPN Security issue
January 19, 2025, 11:26:46 AM
Hello,

anyone has some more information about the current OpenVPN Server security issue?
The current OpenVPN Server Version seems like it's affected to the following problem:
https://www.tenable.com/plugins/nessus/214337

Does the OPNsense Team has an information if OPNsense is affected as well?
Security Audit in the current version, says yes (see screenshot)
#3
24.7, 24.10 Legacy Series / Re: HAProxy no SNI
November 05, 2024, 08:04:46 PM
Ah found it. Seems to work now.

Thank you a lot!
#4
24.7, 24.10 Legacy Series / Re: HAProxy no SNI
November 05, 2024, 07:55:55 PM
Thanks for the reply.

I already enabled strict_sni in my frontend. After that a connection from Apple Mail is working, but thunderbird and other clients not
#5
24.7, 24.10 Legacy Series / HAProxy no SNI
November 05, 2024, 07:45:00 PM
Hello everyone,

at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.

So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).

I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.

All Updates are installed.


Maybe anyone has an idea.
#6
Das ist ein Punkt, was ich bei OPNsense wesentlich besser finde.

Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
#7
Quote from: trixter on August 28, 2024, 01:09:21 PM
Nachtrag:

Es scheint ein Windows-Problem mit dem OpenVPN-Client zu sein :'(
Parallel mit dem KDE Networkmanager auf einer Linux-Box getestet, da wird der DNS sauber übergeben und auch eingebunden.

Bin etwas Ratlos...

Welchen Windows Client verwendest du?
#8
When it is still not working. Some hints:


When you use voip.ms just as a SIP Trunk, you don't need to do a Port forwarding.
Just register the FreePBX online and allow the outgoing connections to voip.ms on your OPNsense <-> FreePBX Interface.
If not working then, i think your issue is in your FreePBX config, not OPNsense...
Basically the FreePBX is acting like a normal SIP Client, you need to forward ports, when you want to register devices from the internet to your FreePBX (like a SMartphone or so), or do it via VPN - but thats another topic.
#9
Mal eine Info wie ich das ganze meist mache.

Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).

Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.

Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.

Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.


Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...
#10
German - Deutsch / Re: Schulprojekt OPNsense mit VPN
January 23, 2024, 11:09:10 AM
Denke ein grober Netzplan wäre da am hilfreichsten, damit jeder Versteht wo genau die FritzBox hängt und was genau diese macht.

Ansonsten ist euer Vorhaben durchaus machbar. Auf welche VPN Lösung man dann setzt ist euch überlassen.
Der einfachheit halber würde ich eher richtung OpenVPN oder Wireguard tendieren.
#11
Habe allgemein bessere Erfahrungen damit gemacht die RDP Verbindungen über TCP laufen zu lassen.
#12
Quote from: Kharim on July 20, 2023, 08:15:21 AM
Das vermutest du richtig.....dank Outbound NAT muss die FB das Netz auch nicht kennen...in der Theorie

(Netzwerkplan siehe Anhang.)
An sich hast du recht.

SIP ist da aber etwas anders unterwegs und hat meist die IP nochmal in den SIP und RTP Paketen, da bringt NAT dann nicht viel.
#13
Quote from: Kharim on July 19, 2023, 08:08:32 AM
Die FB läuft im Router-Modus - muss sie ja auch, da sie den Internetzugang zur Verfügung stellt....
Bitte erstell doch mal einen kurzen Netzwerkplan damit wir wissen welches Netz wo ist.
Vermutlich ist da ja das LAN Netz der OPNsense, welches die FritzBox nicht kennt.


OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
#14
Quote from: jpfeifer14 on July 19, 2023, 05:34:41 AM
I wish there was a discord, every other tech project I have worked on has one, whether official or community built. Get my questions answered in 10 minutes or less. Stuff stalls on here for months.
The forum here is the biggest place for information about OPNsense.
It's searchable for non registered Users which is important.

For small issues or just discussing something like discord wouldn't be bad (I hate discord). But there is also an unofficial telegram group, maybe that's already what you are looking for?

If not, why do you don't open up a discord?


OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
#15
Is it possible that the NICs have a new name (eth0 now igb0 for example)?
If yes you need to reassign them.


OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support