Topics

1

German - Deutsch / Multiwan-Gatewaygruppe-Openvpn

« on: February 11, 2021, 08:10:36 pm »

Hallo Zusammen,

Folgendes einfaches Szenario:


VPN                       LAN Aussenstelle
|                _________|________
|     WAN1|                                  | WAN2
|                             Internet
V                                 |
                                   | WAN1
                                  RZ
                                LAN

WAN1 ist z.B. das Defaultgateway . Der VPN soll als Client (peer-to-peer) von der Aussenstelle das RZ/WAN1 ansprechen.
Dies soll er aber nicht über das Defaultgateway sondern über eine Gatewaygruppe tun. In dieser Gatewaygruppe ist WAN2-Tier 1 und WAN1-Tier2
Jetzt habe ich gelesen, das man dazu den OpenVPN Client an den localhost binden soll. Das funktioniert auch vom Grundsatz her.

all udp WAN1:62389 (127.0.0.1:11120) -> RZ/WAN1:11120

Natürlich geht er dann erst einmal über das Defaulgateway. Wie bekomme ich nun den Tunnel dazu, das er über die Gatewaygruppe geht? Eine schwebende Regel mit dem Interface Localhost sowie dem Port oder auch der Zieladresse funktioniert nicht. Scheinbar ist die Ausführung  der Regel zu spät und der Tunnel steht zu diesen Zeitpunkt schon. Wie kann ich das Problem nun lösen?

lg

Christian

2

German - Deutsch / Möglichkeit einer Quell-IP in der Server Zugangsverwaltung

« on: November 01, 2017, 04:29:29 pm »

Hallo,

Wäre es möglich (und hoffentlich auch logisch) in den Einstellungen für einen LDAP Server (System: Zugang: Server) die Eintragung einer Quell-IP zu ermöglichen? Ich muss den LDAP Server über einen IPSEC Tunnel erreichen. Dies funktioniert zum Beispiel problemlos unter Dienste: Dnsmasq-DNS: Einstellungen in den Einstellungen für die Domainüberschreibung.

Gruß

Christian

3

17.1 Legacy Series / [SOLVED] 17.1.8 - zabbix agent can not be set up

« on: June 08, 2017, 02:07:07 pm »

Hello,

Unfortunately the Zabbix Agent from 17.1.8 can not be set up. If you try to activate in the following error message:

{
  "result": "failed",
  "validations": {
    "zabbixagent.settings.main.listenIP": "Please provide valid IP addresses, i.e. 10.0.0.1."
  }
}

The corresponding field was filled out. See also the screenshot.

regards

Christian

4

German - Deutsch / Gruppen Gateway bei OpenVPN Client

« on: May 05, 2017, 08:25:37 pm »

Hallo zusammen,

Ausgangslage zwei Internetleitungen und ein Gruppen Gateway. Wenn ich einen OpenVPN Client einrichte kann ich unter Schnittstelle "nur" die physikalischen Schnittstellen auswählen. Leider keine Grupen Gatways. Ist das so gewollt? Wenn ja, wie kann ich dann einen Tunnel bei Ausfall einer Internet Leitung automatisch umschwenken?

Gruß

Christian

5

German - Deutsch / Gelöst - OPENVPN - Keine Paket Fragmentierung

« on: March 28, 2017, 12:28:50 pm »

Hallo,

Wenn ich einen Tunnel über OPENVPN aufbaue bekomme ich Pakete mit 1472 byte hindurch. Leider bekomme ich kein Paket fragmentiert. D.h. bei 1472 ist schluss. Pakete >1472 kommen nicht an.  Kann das jemand nachvollziehen? Wo habe ich eine Einstellung  übersehen?

Gruß

Christian

6

German - Deutsch / Captives Portal+Squid transparent+URL auf Syslogserver

« on: March 27, 2017, 11:02:10 am »

Hallo Zusammen,

Ich möchte die aufgerufenen URL's mit der jeweiligen IP Adresse des Clients  in einem Portal aufzeichnen. Also Webproxy aktiviert und dort auch Syslog als aufzeichnungsmethode ausgewählt. Nur irgendwie kommt da nichts an. DIe Konfiguration für Opnsense uns Syslog funktioniert. Denkfehler?

Gruß

Christian

7

German - Deutsch / PPPOE nach Providertrennung nicht mehr erreichbar

« on: March 27, 2017, 08:58:34 am »

Hallo,

Habe ein Problem mit PPPOE auf ein Draytek 130 und Opnsense 17.1.4.
Nach der automatischen 24 Stunden Trennung bei einen VDSL Anschluss wird der PPPOE Stack scheinbar manchmal nicht richtig Initialisiert. Hier mal zwei Beispiele. 24.3 hat funktioniert 25.3. nicht:

Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [5dfb56a4-fed3-40bb-abb9-ee22c86bf08b] Rewriting resolv.conf
Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [ec58981d-472e-476d-aec9-01ad87da00f7] Rewriting resolv.conf
Mar 24 15:17:44 MLS-LANGEN-FW01 configd.py: [da5ee089-f119-4cd7-adda-4b00c24ecbb5] Rewriting resolv.conf
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [04e33444-3949-41fa-836a-eb479ae0c953] rc.newwanip starting pppoe0
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [8b7e92e1-d41b-4c44-b926-0e59825422ad] Rewriting resolv.conf
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 24 15:17:48 MLS-LANGEN-FW01 configd.py: [6ce49bb5-4a2f-448b-ab47-4fdd06948633] rc.newwanip starting pppoe0
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 24 15:17:49 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 24 15:17:49 MLS-LANGEN-FW01 configd.py: [703cb056-3c89-43b6-91a2-8e9309fdb428] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [693542d5-7797-4f2d-805e-050934ec2a1e] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [e54aa7d5-68e4-4a4a-b239-2cea8b0b56fb] rc.newwanip starting ovpnc1
Mar 24 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 24 15:17:52 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 24 15:17:54 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'vtbd0' to device list


----------------------------------------------------------------------------------------------------


Mar 25 15:17:45 MLS-LANGEN-FW01 configd.py: [6ec4fae6-1008-4db7-af3b-6c2145de2d23] Rewriting resolv.conf
Mar 25 15:17:46 MLS-LANGEN-FW01 configd.py: [0e573053-2f2d-477d-9bc9-3a253180dd17] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 configd.py: [19ef49ad-f918-434a-8715-843c26cfb575] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 25 15:17:50 MLS-LANGEN-FW01 configd.py: [8a214343-2d00-4e10-a644-3d8646ca53b4] rc.newwanip starting pppoe0
Mar 25 15:17:50 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 25 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 25 15:17:51 MLS-LANGEN-FW01 configd.py: [3a1ee33f-49d0-4371-b5a9-2af1e9cc7e94] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [b14ecf00-1b4c-4f80-819f-f868d1da7e1d] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [bb21d48e-497a-483b-921d-075c49fbf9a6] rc.newwanip starting ovpnc1
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 25 15:17:57 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'vtbd0' to device list
Mar 25 15:17:59 MLS-LANGEN-FW01 configd.py: [c8f451fb-af61-4802-a0d7-1225dfd16c2d] Rewriting resolv.conf
Mar 25 15:18:00 MLS-LANGEN-FW01 configd.py: [76de148b-51f3-4d85-9f86-f3bc21c924ed] rc.newwanip starting pppoe0
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [dce8623d-2b33-4954-b3e1-ebcea976374e] Rewriting resolv.conf
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [95b893ff-4e1a-4a6b-ab88-5db4d79fad6a] Rewriting resolv.conf
Mar 25 15:18:03 MLS-LANGEN-FW01 configd.py: [4589666d-4fe5-41e6-b1df-bf21cc343aca] rc.newwanip starting pppoe0
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]




Was könnte der Fehler sein?

8

German - Deutsch / Gelöst Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate

« on: March 10, 2017, 07:00:01 pm »

Hallo,

Wie kann man von der CLI das Zertifikat für die Weboberfläche zurücksetzen? Kann diese nicht mehr laden, da ich da was falschen eingespielt habe und müsste es auf das Auslieferungszertifikat zurücksetzen. Danke!

Gruß

Christan

9

German - Deutsch / OpenVPN MTU Problem?

« on: February 27, 2017, 04:55:26 pm »

Hallo Zusammen,

Habe einen einfachen OpenVPN Tunnel als Client-Server aufgesetzt. Soweit auch erst mal alles ok. D.h. Verbindung wird aufgebaut und ping ist durch den Tunnel möglich. Was mich etwas irritiert hat, ist das vor allen HTTP Seiten sehr langsam sind. (z.B. Config Interface der Opnsense)
Also habe ich mal etwas gesucht. Raus gekommen ist, das durch den Tunnel nur unfragmentierte Pakete übertragen werden. D.h. bei einer Paketgröße > 1472 geht nichts mehr.

Also ping -l 1473 xxx.xxx.xxx.xxx
Zeitüberschreitung der Anforderung

Ein  ping -f -l 1473 xxx.xxx.xxx.xxx sagt korrekterweise:
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.

Wo liegt der Fehler?


Gruß

Christian

10

German - Deutsch / Doku Let's Encrypt

« on: February 06, 2017, 01:56:37 pm »

Hallo,

Gibt es irgendwo eine kleine Anleitung zu dem Plugin Let's Encrypt in der 17.1? Ich habe da einen missing Link im Hirn. Wie kommt das angeforderte Zertifikat in die Zertifikatliste?
Danke!

Christian

11

German - Deutsch / IPSEC - IPV6 Bug2?

« on: June 14, 2016, 04:23:42 pm »

Hallo,

Es scheint einen weiteren Fehler im zusammenhang mit IPV6 zu geben. Scheinbar wird die MTU Size des Tunnels nicht richtig gesetzt, sodas die Pakete nicht mehr fragmentiert sonder verworfen werden. D.h. Pakete grösser 1362 bit werden verworfen. Sobald ich den selben Tunnel auf IPV4 umstelle funktioniert es. Ich vermutte mal, das der Overhead von IPV6 nicht richtig  berücksichtigt wird.

Gruß

Christian

OPNsense 16.7.b_394

12

German - Deutsch / IPSEC - Verständnisfrage Routing / Regeln

« on: June 14, 2016, 09:32:46 am »

Hallo zusammen,

Auch hier habe ich irgenwie noch ein Logikproblem. Es fängt damit an, das IPSEC zwar als eigenes Interface  unter Firewall-Regeln dargestellt wird, aber wenn man ins Routing schaut, für das IPSEC Interface keine Einträge angelegt sind. Dementsprechend funktioniert es auch nicht, eine Regel am INTERN interface anzulegen die  folgendermassen aufgebaut ist:
INTERN:
IPv4 *   INTERN   *   IPSEC   *   *      

Das interessiert in dem fall scheinbar gar nicht, da es hier kein Routing über das IPSEC "Interface" gibt, sondern der Tunnel scheinbar an das externe Interface gebunden ist. Ist das so?

Gruß

Christian

OPNsense 16.7.b_394

13

German - Deutsch / IPSEC - IPV6 Bug?

« on: June 14, 2016, 09:23:43 am »

Hallo Zusammen,

Mir ist aufgefallen, wenn man einen IPV6 Tunnel Kontruiert kann man da ja dann IPV4 Pakete transportieren lassen. Also Phase1 IPV6, Phase 2 IPV4. Das funktioniert dann auch Problemlos. Möchte mann aber nun etwas an Phase1 ändern ist das nur möglich wenn man die Phase2 einträge löscht. Ansonsten kommt folgende Fehlermeldung:

Die folgenden Eingabefehler wurden entdeckt:
Es gibt eine Phase 2, die IPv4 verwendet. Sie können IPv6 nicht verwenden.

Gruß

Christian

OPNsense 16.7.b_394

14

German - Deutsch / IPSEC - Verständnisfrage Tunnelkonfiguration

« on: June 14, 2016, 09:19:31 am »

Hallo Zusammen,

Ich habe da mal eine Verständnissfrage.  Wenn ich bei einen IPSEC Tunnel , bei Anschlussart auswähle "Sofort starten", heisst das, das der Tunnel dauerhaft offen bleibt?  Hintergrund ist, das ich einen Tunnel so konfiguriert habe und dieser heute Nacht abgebaut wurde. Er lies sich dann auch nur "manuell" über die Weboberfläche aufbauen. Ist das nun ein Denkfehler, oder ein Bug, oder , oder .... ;-)
Ach ja - OPNsense 16.7.b_394.

Gruß

Christian

15

German - Deutsch / IPSEC mit OPNSense unter KVM (Proxmox)

« on: May 27, 2016, 02:12:49 pm »

Hallo Zusammen,

Da ich OPNSense unter KVM (Proxmox) betreibe, möchte ich in diesen Treat optimierungen beschreiben und zur Diskussion aufrufen.
Dem Zugrunde liegt derzeit OPNsense Develop 16.7 und Proxmox 4.2. Hardware ist ein Atom C2550 mit AES-NI

Der erste Versuch war mit Proxmox E1000 Treibern und aktivierten AES-NI Support unter OPNSense.
Um erhrlich zu sein. Danach wollte ich schon wieder die Software wechseln. Ein Datendurchsatz von 24-30MB und einer CPU Last von 60-70%.

Daraufhin habe ich mich aber noch einmal rangesetzt und folgede Optimierungen durchgeführt.

Proxmox VirtIO Netzwertreiber und folgendes  unter OPNSense (Datei /boot/loader.conf):

hint.apic.0.clock=0
kern.hz=100

führten dazu, das er Durchsatz auf 70MB hochging und die CPU-Last auf 40-45% gesungen ist.
Befriedigend ist das immer noch nicht, aber deutlich besser.  Leider habe ich mir damit auch ein neues Problem eingefangen. IPS funktioniert nicht mehr. Obwohl ich sämtliche Hardware - Offload's Disabeld habe. Sobald ich IPS aktiviere entsteht der selbe Effekt, wie wenn man  IPS ohne Disable hardware checksum offload versucht. Nun gut man kann nicht alles haben ;-)