Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - mr.sarge

Pages: [1]

23.1 Legacy Series / [Solved] NordVPN connection issue

« on: July 05, 2023, 05:18:36 pm »

Hi,

the VPN worked without problems until a few days ago. Does someone know if Nord VPN has changed something? Login (username/pass) is 100% correct

OPNSense 23.1.9
OpenVPN package 2.6.4

Log:

Code: [Select]

<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="1"] OpenVPN 2.6.4 amd64-portbld-freebsd13.1 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 85466 - [meta sequenceId="2"] library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="3"] MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
<28>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="4"] NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="5"] TCP/UDP: Preserving recently used remote address: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="6"] Socket Buffers: R=[42080->42080] S=[57344->57344]
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="7"] UDPv4 link local: (not bound)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="8"] UDPv4 link remote: [AF_INET]5.180.62.45:1194
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="9"] TLS: Initial packet from [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%), sid=9ff13ef6 923800f4
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="10"] VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="11"] VERIFY OK: depth=1, O=NordVPN, CN=NordVPN CA8
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="12"] VERIFY KU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="13"] Validating certificate extended key usage
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="14"] ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="15"] VERIFY EKU OK
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="16"] VERIFY OK: depth=0, CN=de963.nordvpn.com
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="17"] Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="18"] [de963.nordvpn.com] Peer Connection Initiated with [AF_INET]5.180.62.45:1194 (via [AF_INET]xx.xx.xx.xx%)
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="19"] TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
<29>1 2023-07-05T17:05:45+02:00  openvpn_client1 86487 - [meta sequenceId="20"] TLS: tls_multi_process: initial untrusted session promoted to trusted
<29>1 2023-07-05T17:05:46+02:00  openvpn_client1 86487 - [meta sequenceId="21"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="22"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="23"] MANAGEMENT: CMD 'state'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="24"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="25"] MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="26"] MANAGEMENT: CMD 'status 3'
<29>1 2023-07-05T17:05:48+02:00  openvpn_client1 86487 - [meta sequenceId="27"] MANAGEMENT: Client disconnected
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="28"] SENT CONTROL [de963.nordvpn.com]: 'PUSH_REQUEST' (status=1)
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="29"] AUTH: Received control message: AUTH_FAILED
<29>1 2023-07-05T17:05:51+02:00  openvpn_client1 86487 - [meta sequenceId="30"] SIGTERM[soft,auth-failure] received, process exiting
~

config:

Code: [Select]

dev ovpnc1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon openvpn_client1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-GCM
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
tls-client
client
nobind
management /var/etc/openvpn/client1.sock unix
remote de850.nordvpn.com 1194
remote de972.nordvpn.com 1194
remote de963.nordvpn.com 1194
auth-user-pass /var/etc/openvpn/client1.up
ca /var/etc/openvpn/client1.ca
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo no
route-noexec
resolv-retry infinite
remote-random
reneg-sec 0
remote-random

tun-mtu 1500

tun-mtu-extra 32

mssfix 1450

persist-key

persist-tun

remote-cert-tls server

fast-io

auth-nocache

kind regards,

sarge

German - Deutsch / Kinderschutz (Internetfilter) - mögl. Lösung?

« on: March 09, 2023, 11:06:16 am »

Hallo,

mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.

Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.

Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins

viele Grüße,

Sarge

German - Deutsch / Bitwarden_RS (Raspi / Docker) und OPNSense Absicherung

« on: May 28, 2021, 11:38:43 am »

Hallo,

ich fange gerade an mich mit dem Thema zu beschäftigen und möchte gerne auf einem Raspi 4 / 4GB Bitwarden_RS (Docker, Nginx, LetsEncrypt) laufen lassen. Das Ganze soll dann auch von extern erreichbar sein

Welche Empfehlung gibt es das ganze sicher zu machen? Eine einfache Portweiterleitung scheint mir nicht der richtige Weg zu sein. Auf dem Raspi sollte zudem noch ein weitere Docker Container laufen (UI controller)

Vielleicht kann mir jemand ein paar Tips geben damit ich ich den "richtigen" Pfad einschlage :-)

Vielen Dank!

mfg,

Sarge

21.1 Legacy Series / OpenVPN - DNS issue / question

« on: March 15, 2021, 11:38:53 am »

Hello,

I recently activated OpenVPN with policy based routing. It works all except DNS query

I'm using the following DNS settings:
- System-> Settings -> General ->Networking ->DNS servers "8.8.8.8 / 8.8.4.4"
- DNS server options "Allow DNS server list do be overridden by DHCP/PPP on WAN" -> UNCHECKED
- Allow default gateway switching -> UNCHECKED
- Services -> Unbound DNS -> General
- DNS Query Forwarding -> Enable Forwarding Mode -> CHECKED
- Local Zone Type > transparent
- Outgoing Network Interfaces > All (recommended)

DHCPv4 -> DNS servers -> BLANK -> USE SYSTEM DEFAULT DNS SERVERS

Problem: clients routed through the vpn tunnel are not able to resolve DNS host names until I set the DNS servers manually or with DHCP. It seems that "DNS Query Forwarding" (Unbound DNS) ist not working.

Is there an option and/or firewall rule that I'm still missing?

best regards,

Sarge

German - Deutsch / Nord VPN (Geoblocking) nur für bestimmte IPs

« on: March 02, 2021, 09:36:20 am »

Hallo allerseits,

habe OPNSense 21.1.1 im Einsatz mit 2 getrennten Netzen (VLAN) die untereinander keinen Zugriff haben.

Da wir aufgrund von Geoblocking bestimmte Dienste nicht nutzen können (z.B. ZDF Mediathek) würde ich gerne "NORD VPN" mit OPNSense gerne mal testen

Frage: ist es möglich den Traffic nur von bestimmten IPs (und verschiedenen Netzen) durch den VPN-Tunnel zu routen, z.B. nur von den TVs? Der Rest des Traffics soll ganz normal ins Internet gehen.

mfg,

German - Deutsch / Verständnisfrage zu VLAN Firewall-Regel

« on: April 24, 2019, 02:08:39 pm »

Hallo,

habe OPNSense 19.6 seit ca. 10 Tagen auf einer "LES compact 4L" in meinem Heinmnetzwerk stabil laufen mit einigen grundlegenden Einstellungen:
- getrenntes VLAN für andere Mitbewohner
- DHCP-Server für LAN und VLAN
- IPSec VPN
- WOL

Frage zu Firwallregel für VLAN Hosts: diese sollen im Internet alles machen können, jedoch keinen Zugriff zum LAN-Netzwerk haben

Wie bei meiner alten Sonicwall dachte ich mir eine Regel zu erstellen wie:

Proto IPv4* / Source VLAN / Port * / Dest WAN net / Port * /GW *

Mit dieser Regel wird jedoch der Traffic vom VLAN ins Internet geblockt und ich muss als Destination "*" angeben.
Warum ist dem So wenn ich als Destination WAN net angebe? Muss ich stattdessen eine explizite Regel beim LAN-Interface erstellen die den Traffic VLAN zu LAN blockiert?

noch eine Frage zu WOL: wie kann ich bei einer bestehenden IPSec VPN WOL Pakete ins Netzwerk weiterleiten bzw. welche Regeln ist hierfür notwendig?
Zur Zeit nutze ich das WOL-Plugin für OPNSense um Hosts aufzuwecken, Ziel wäre es aber Programme bzw. Apps zu nutzen (wie vorher bei der Sonicwall)
Wie gesagt nur über die bestehende VPN, über Internet sollten Hosts nicht aufweckt werden können.

Vielen Dank im Voraus für eure Tips!

mfg,

Sarge