"
Is OPNsense affected. Seems that it's not using Tls-crypt-v2 when you configure the vpn via the gui
https://www.cve.org/CVERecord?id=CVE-2025-2704
https://www.cve.org/CVERecord?id=CVE-2025-2704
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
24.7, 24.10 Legacy Series / OpenVPN Security issue
January 19, 2025, 11:26:46 AM
Hello,
anyone has some more information about the current OpenVPN Server security issue?
The current OpenVPN Server Version seems like it's affected to the following problem:
https://www.tenable.com/plugins/nessus/214337
Does the OPNsense Team has an information if OPNsense is affected as well?
Security Audit in the current version, says yes (see screenshot)
anyone has some more information about the current OpenVPN Server security issue?
The current OpenVPN Server Version seems like it's affected to the following problem:
https://www.tenable.com/plugins/nessus/214337
Does the OPNsense Team has an information if OPNsense is affected as well?
Security Audit in the current version, says yes (see screenshot)
#3
24.7, 24.10 Legacy Series / Re: HAProxy no SNI
November 05, 2024, 08:04:46 PM
Ah found it. Seems to work now.
Thank you a lot!
Thank you a lot!
#4
24.7, 24.10 Legacy Series / Re: HAProxy no SNI
November 05, 2024, 07:55:55 PM
Thanks for the reply.
I already enabled strict_sni in my frontend. After that a connection from Apple Mail is working, but thunderbird and other clients not
I already enabled strict_sni in my frontend. After that a connection from Apple Mail is working, but thunderbird and other clients not
#5
24.7, 24.10 Legacy Series / HAProxy no SNI
November 05, 2024, 07:45:00 PM
Hello everyone,
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
#6
German - Deutsch / Re: Private IP wird über WAN geroutet
August 29, 2024, 08:53:24 AM
Das ist ein Punkt, was ich bei OPNsense wesentlich besser finde.
Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
#7
German - Deutsch / Re: Openvpn Clients bekommen offenbar den DNS-Server nicht mitgeteilt
August 29, 2024, 08:46:28 AMQuote from: trixter on August 28, 2024, 01:09:21 PM
Nachtrag:
Es scheint ein Windows-Problem mit dem OpenVPN-Client zu sein :'(
Parallel mit dem KDE Networkmanager auf einer Linux-Box getestet, da wird der DNS sauber übergeben und auch eingebunden.
Bin etwas Ratlos...
Welchen Windows Client verwendest du?
#8
24.1, 24.4 Legacy Series / Re: Can't get VOIP traffic to be allowed.
July 10, 2024, 02:05:10 PM
When it is still not working. Some hints:
When you use voip.ms just as a SIP Trunk, you don't need to do a Port forwarding.
Just register the FreePBX online and allow the outgoing connections to voip.ms on your OPNsense <-> FreePBX Interface.
If not working then, i think your issue is in your FreePBX config, not OPNsense...
Basically the FreePBX is acting like a normal SIP Client, you need to forward ports, when you want to register devices from the internet to your FreePBX (like a SMartphone or so), or do it via VPN - but thats another topic.
When you use voip.ms just as a SIP Trunk, you don't need to do a Port forwarding.
Just register the FreePBX online and allow the outgoing connections to voip.ms on your OPNsense <-> FreePBX Interface.
If not working then, i think your issue is in your FreePBX config, not OPNsense...
Basically the FreePBX is acting like a normal SIP Client, you need to forward ports, when you want to register devices from the internet to your FreePBX (like a SMartphone or so), or do it via VPN - but thats another topic.
#9
German - Deutsch / Re: Diverse Fragen zur DMZ und Reverse Proxy
June 23, 2024, 08:32:53 PM
Mal eine Info wie ich das ganze meist mache.
Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).
Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.
Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.
Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.
Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...
Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).
Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.
Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.
Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.
Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...
#10
German - Deutsch / Re: Schulprojekt OPNsense mit VPN
January 23, 2024, 11:09:10 AM
Denke ein grober Netzplan wäre da am hilfreichsten, damit jeder Versteht wo genau die FritzBox hängt und was genau diese macht.
Ansonsten ist euer Vorhaben durchaus machbar. Auf welche VPN Lösung man dann setzt ist euch überlassen.
Der einfachheit halber würde ich eher richtung OpenVPN oder Wireguard tendieren.
Ansonsten ist euer Vorhaben durchaus machbar. Auf welche VPN Lösung man dann setzt ist euch überlassen.
Der einfachheit halber würde ich eher richtung OpenVPN oder Wireguard tendieren.
#11
German - Deutsch / Re: RDP Verbindung bricht immer wieder ab
September 29, 2023, 02:44:31 PM
Habe allgemein bessere Erfahrungen damit gemacht die RDP Verbindungen über TCP laufen zu lassen.
#12
German - Deutsch / Re: SIP an FritzBox, hinter OPNsense
July 22, 2023, 08:11:08 AMQuote from: Kharim on July 20, 2023, 08:15:21 AMAn sich hast du recht.
Das vermutest du richtig.....dank Outbound NAT muss die FB das Netz auch nicht kennen...in der Theorie
(Netzwerkplan siehe Anhang.)
SIP ist da aber etwas anders unterwegs und hat meist die IP nochmal in den SIP und RTP Paketen, da bringt NAT dann nicht viel.
#13
German - Deutsch / Re: SIP an FritzBox, hinter OPNsense
July 19, 2023, 03:19:37 PMQuote from: Kharim on July 19, 2023, 08:08:32 AMBitte erstell doch mal einen kurzen Netzwerkplan damit wir wissen welches Netz wo ist.
Die FB läuft im Router-Modus - muss sie ja auch, da sie den Internetzugang zur Verfügung stellt....
Vermutlich ist da ja das LAN Netz der OPNsense, welches die FritzBox nicht kennt.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
#14
General Discussion / Re: Discord...unpopular opinion?
July 19, 2023, 07:15:59 AMQuote from: jpfeifer14 on July 19, 2023, 05:34:41 AMThe forum here is the biggest place for information about OPNsense.
I wish there was a discord, every other tech project I have worked on has one, whether official or community built. Get my questions answered in 10 minutes or less. Stuff stalls on here for months.
It's searchable for non registered Users which is important.
For small issues or just discussing something like discord wouldn't be bad (I hate discord). But there is also an unofficial telegram group, maybe that's already what you are looking for?
If not, why do you don't open up a discord?
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
#15
General Discussion / Re: esxi Host - Ports not connecting - disconnected and now won't reconnect
July 17, 2023, 08:40:51 PM
Is it possible that the NICs have a new name (eth0 now igb0 for example)?
If yes you need to reassign them.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
If yes you need to reassign them.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
