Topics

Hi,

I would like to switch from legacy OpenVPN to Wireguard for my NordVPN connections. With OpenVPN i used multiple remote servers if one of them is not reachable(see screenshot). How can I achieve the same with Wireguard?

Does it work with one intance and multiple peers or do I have to configure multiple instances/peer, gateways and group them?
If multiple peers / instance works also, what gateway ip address should be used?

kind regards,

Hi,

the VPN worked without problems until a few days ago. Does someone know if Nord VPN has changed something? Login (username/pass) is 100% correct

OPNSense 23.1.9
OpenVPN package 2.6.4

Log:

Code Select Expand

<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="1"] OpenVPN 2.6.4 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="2"] library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="3"] MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
<28>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="4"] NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="5"] TCP/UDP: Preserving recently used remote address: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="6"] Socket Buffers: R=[42080->42080] S=[57344->57344]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="7"] UDPv4 link local: (not bound)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="8"] UDPv4 link remote: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="9"] TLS: Initial packet from [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%), sid=9ff13ef6 923800f4
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="10"] VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="11"] VERIFY OK: depth=1, O=NordVPN, CN=NordVPN CA8
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="12"] VERIFY KU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="13"] Validating certificate extended key usage
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="14"] ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="15"] VERIFY EKU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="16"] VERIFY OK: depth=0, CN=de963.nordvpn.com
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="17"] Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="18"] [de963.nordvpn.com] Peer Connection Initiated with [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="19"] TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="20"] TLS: tls_multi_process: initial untrusted session promoted to trusted
<29>1 2023-07-05T17:05:46+02:00  openvpn_client1 86487 - [meta sequenceId="21"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="22"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="23"] MANAGEMENT: CMD 'state'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="24"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="25"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="26"] MANAGEMENT: CMD 'status 3'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="27"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="28"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="29"] AUTH: Received control message: AUTH_FAILED
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="30"] SIGTERM[soft,auth-failure] received, process exiting
~

config:

Code Select Expand

dev ovpnc1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon openvpn_client1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-GCM
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
tls-client
client
nobind
management /var/etc/openvpn/client1.sock unix
remote de850.nordvpn.com 1194
remote de972.nordvpn.com 1194
remote de963.nordvpn.com 1194
auth-user-pass /var/etc/openvpn/client1.up
ca /var/etc/openvpn/client1.ca
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo no
route-noexec
resolv-retry infinite
remote-random
reneg-sec 0
remote-random

tun-mtu 1500

tun-mtu-extra 32

mssfix 1450

persist-key

persist-tun

remote-cert-tls server

fast-io

auth-nocache


kind regards,

sarge

Hallo,

mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.

Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.

Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins

viele Grüße,

Sarge

Hallo,

ich fange gerade an mich mit dem Thema zu beschäftigen und möchte gerne auf einem Raspi 4 / 4GB Bitwarden_RS (Docker, Nginx, LetsEncrypt) laufen lassen. Das Ganze soll dann auch von extern erreichbar sein

Welche Empfehlung gibt es das ganze sicher zu machen? Eine einfache Portweiterleitung scheint mir nicht der richtige Weg zu sein. Auf dem Raspi sollte zudem noch ein weitere Docker Container laufen (UI controller)

Vielleicht kann mir jemand ein paar Tips geben damit ich ich den "richtigen" Pfad einschlage :-)

Vielen Dank!

mfg,

Sarge

Hello,

I recently activated OpenVPN with policy based routing. It works all except DNS query

I'm using the following DNS settings:
- System-> Settings -> General ->Networking ->DNS servers "8.8.8.8 / 8.8.4.4"
   - DNS server options "Allow DNS server list do be overridden by DHCP/PPP on WAN" -> UNCHECKED
   - Allow default gateway switching -> UNCHECKED
- Services -> Unbound DNS -> General
  - DNS Query Forwarding -> Enable Forwarding Mode -> CHECKED
  - Local Zone Type > transparent
  - Outgoing Network Interfaces > All (recommended)

DHCPv4 -> DNS servers -> BLANK -> USE SYSTEM DEFAULT DNS SERVERS

Problem: clients routed through the vpn tunnel are not able to resolve DNS host names until I set the DNS servers manually or with DHCP. It seems that "DNS Query Forwarding" (Unbound DNS) ist not working.

Is there an option and/or firewall rule that I'm still missing?

best regards,

Sarge

Hallo allerseits,

habe OPNSense 21.1.1 im Einsatz mit 2 getrennten Netzen (VLAN) die untereinander keinen Zugriff haben.

Da wir aufgrund von Geoblocking bestimmte Dienste nicht nutzen können (z.B. ZDF Mediathek) würde ich gerne "NORD VPN" mit OPNSense gerne mal testen

Frage: ist es möglich den Traffic nur von bestimmten IPs (und verschiedenen Netzen) durch den VPN-Tunnel zu routen, z.B. nur von den TVs? Der Rest des Traffics soll ganz normal ins Internet gehen.

mfg,

[WAN net]

Hallo,

habe OPNSense 19.6 seit ca. 10 Tagen auf einer "LES compact 4L" in meinem Heinmnetzwerk stabil laufen mit einigen grundlegenden Einstellungen:
- getrenntes VLAN für andere Mitbewohner
- DHCP-Server für LAN und VLAN
- IPSec VPN
- WOL

Frage zu Firwallregel für VLAN Hosts: diese sollen im Internet alles machen können, jedoch keinen Zugriff zum LAN-Netzwerk haben

Wie bei meiner alten Sonicwall dachte ich mir eine Regel zu erstellen wie:

Proto IPv4* / Source VLAN / Port * / Dest WAN net / Port * /GW *

Mit dieser Regel wird jedoch der Traffic vom VLAN ins Internet geblockt und ich muss als Destination "*" angeben.
Warum ist dem So wenn ich als Destination WAN net angebe? Muss ich stattdessen eine explizite Regel beim LAN-Interface erstellen die den Traffic VLAN zu LAN blockiert?

noch eine Frage zu WOL: wie kann ich bei einer bestehenden IPSec VPN WOL Pakete ins Netzwerk weiterleiten bzw. welche Regeln ist hierfür notwendig?
Zur Zeit nutze ich das WOL-Plugin für OPNSense um Hosts aufzuwecken, Ziel wäre es aber Programme bzw. Apps zu nutzen (wie vorher bei der Sonicwall)
Wie gesagt nur über die bestehende VPN, über Internet sollten Hosts nicht aufweckt werden können.

Vielen Dank im Voraus für eure Tips!

mfg,

Sarge

Hi,

is someone using the new Netgate SG-3100 firewall with OPNsense? I'm interested to buy this model but I'm not sure if it is 100% working with OPNsense and with a >=100Mbit WAN connection

best regards,

Sarge

Hello,

is it possible to route the traffic from a single ip address through expressvpn or nordvpn with OPNsense?
At the moment I'm using a Sonicwall TZ210 and it seems there is no possibilty

best regards,

Sarge

Hallo,

nutze seit Jahren Monowall auf einem (alten) PC-Engines WRAP board. Hat jemand Erfahrung ob und wie OPNsense auf dieser Hardware läuft? Wenn nicht welche Hardware wäre aktuell empfehlenswert? z.B. PC Engines APU.1D4

mfg,

Sarge