Topics

1

German - Deutsch / Fehlermeldungen Captive Portal

« on: November 07, 2024, 03:29:06 pm »

So,
nach dem ich nun die TLS Fehlermeldung mit dem Hello on ClearPort mit einem öffentlichen Zertifikat von LE beseitigen konnte,  haut mir die OPNSense auf der Captive Portal Schnittstelle nun neue, bzw. weitere Fehlermeldungen raus.
Vielleicht kann mir hier ja jemand sagen was es damit aufsich hat und wie damit umzugehen ist:

alles mit dem Vermerk: lighttpd 62619
- SSL: 1 error:0A000076:SSL routines::not suitable signature algorithm
- uri /images/default-logo.png in=8530 smaller than out=8553
- SSL: 1 error:=0A00010B:SSL routines::wrong version number

Vielen Dank im Voraus.

2

German - Deutsch / Portweiterleitung Captive Portal

« on: November 04, 2024, 09:45:26 am »

Moin,

ich habe ja dieses Problem mit dem "Hello on ClearPort" auf meiner WLAN Schnittstelle.
Das hängt wohl damit zusammen, dass manche Clients versuchen auf einem unverschlüsselten Port eine verschlüsselte Verbindung zur Anmeldeseite des CP herzustellen.
Was aber auch irgendwie kein Sinn macht, da das CP eigentlich eine verschlüsselte Verbindung für die Anmeldung voraussetzt und diese wohl auch von den Clients fordert.
Ein Zertifikat, um die Fehlermeldung des unbekannten Zertifikates zu vermeiden, habe ich nicht aktiviert.
Ist es möglich alle Anfragen die über Port 80 an die Anmeldeseite des CP gehen auf Port 443 umzuleiten?
Wie ist die Adresse der Anmeldeseite?
Subnetz ist 10.0.1.1.
Wäre http dann 10.0.1.1:80 und https 10.0.1.1:443, so dass ich einfach nur eine Umleitung an die Adresse 10.0.1.1 von 80 auf 443 einrichten muss?

3

German - Deutsch / Langsames WLAN durch "Unexpected TLS Client"?

« on: October 28, 2024, 12:02:36 pm »

Hallo in die Runde.
Ich habe eine OPNSense auf einem
Intel Core i5-10210U 1,6 GHz Comet Lake-U Quad Core
mit Hyperthreading und Turbo bis zu 4,2 GHz, 6 MByte L3
Cache, Intel UHD Graphics 620, 8xIntel i225-V (B3) 2,5
Gigabit LAN, DDR4-2666 SO-DIMM / Seriennr.
mit 8GB RAM und 32GB SSD laufen

Versionen
OPNsense 24.7.6-amd64
FreeBSD 14.1-RELEASE-p5
OpenSSL 3.0.15

Darin sind drei Netzwerke
32.72.... als WAN (Verbindung über LWLcom mit 1Gb synchron.
192.168.X.X als Heimnetzwerk
10.0.X.X als Gästenetz mit dem CaptivePortal
10.0.1X.X als Versuchnetz mit einem CaptivePortal über den TP-LINK OMADA Controller

Ich versuche hier mit TrafficShaping den einzlnen Gästenetzen unterschiedliche Geschwindigkeiten zuzordnen.
Das funktioniert leider nur Suboptimal, ist aber im Moment auch nicht das Thema.

Ich habe festgestellt, dass mir im 10.0.1.1 Netz manche Geräte mit irgendwelchen:
"Unexpected TLS ClientHello on Clear Port" die OPNSense vollspammen.
Und je mehr die Spammen, desto langsamer wird anscheinend die Internetgeschwindigket.
Vor einem Reboot war ich bei 20Mb/s im Download und 1Mb/s im Upload.
Nachdem Reboot hatte ich 26Mb/s im Download und 24Mb/s.
(Das TrafficShaping soll diese Leitung auf 30Mbit UP/DOWN begrenzen)

Die Geräte im LAN sind von der Leistungsreduzierung nur zum Teil betroffen.
Aber alle Geräte im WLAN, egal über welches Netzwerk sie die Verbindung herstellen...

Bis jetzt habe ich im Forum nichts hilfreiches dazu finden können.
Hat sonst jemand schon einmal diese Meldungen bekommen?
Kann mir jemand sagen was es damit aussich hat?
Kann mir jemand dabei helfen das Problem zu lösen?

Schon einmal vielen Dank.
Anbei zwei Bilder der Fehlermeldung.

Danke und Grüße
Nils

4

German - Deutsch / Speedtest

« on: April 04, 2024, 09:49:54 pm »

Moin,
folgende Frage in der Hoffnung, dass hier jemand schon ähnliches probiert hat:
Ist es möglich mit der OPNSense einen Speedtest auf die einzelnen Schnittstellen durchzuführen?

OPNsense 23.7.12_5-amd64
FreeBSD 13.2-RELEASE-p7
OpenSSL 1.1.1w

Läuft auf einem AMD GX-210UA SOC (2 cores, 2 threads) von OPNSense.

3 Schnittstellen:
WAN auf em1 angeschlossen an Glasfaser von LWL mit 250Mbit/s Synchron als Gateway
LAN als internes Netzwerk an em0
Gästenetz (opt1) hinter Capitve Portal an em2 mit eigenem Adressbereich
zweites Gästenetz (opt2)  als vlan hinter Captive Portal des OMADA Controllers von TP-LINK, an em2 mit eigenem Adressbereich

per Traffic Shaper hatte ich den beiden Gästenetzen unterschiedliche Bandbreiten zugeordnet (von den 250max gehen 50 an opt1 und 150 an opt2).
Dabei habe ich mich an das Howto aus der Dokumentation gehalten und habe entsprechend der Vorgaben folgendes eingerichtet:
-Multi Interface shaping for a GuestNet
(um den beiden Gästenetzen die entsprechende maximale Bandbreite zu zuordnen)
-Share internet bandwidth amongst users evenly
(damit jeder angemeldete Nutzer die gleiche Bandbreite zur Verfügung gestellt bekommt)

Anfangs funktionierte das auch ohne Probleme.
Speedtests aus den einzelnen Netzen heraus zeigten Geschwindigkeit die im Maximum der eingestellten maximalen Bandbreite entsprachen.
Mittlerweile ist das aber aus unerklärlichen Gründen nicht mehr.
Auch die Schnittstelle opt2, die eine höhere Bandbreite hat, ist limitiert auf die Bandbreite von opt1.

Nun wollte ich wissen ob es am Netzwerk selbst liegt (mehrere TP-Link Switches und Accesspoints verwaltet über Omada) oder ob das Problem eventuell in einer mittlerweile überlasteten OPNsense liegt.
Dafür habe ich das Speedtest Plugin installiert.
Das scheint aber nur die Geschwindigkeit zu messen, die über die WAN Schnittstelle geht.
Interessant wäre es, einzustellen den Test über eine der anderen Schnittstellen umzuleiten und dann zu testen wie die Geschwindigkeit an em1 und opt1 und opt2 ist.
Ob vielleicht irgendeine Einstellung in der OPNSense den Traffic begrenzt und ich daher diese Geschwindigkeiten bekomme.
Denn auch an der em1, dem ja theoretisch die restliche Bandbreite zur Verfügung steht, bekomme ich weniger.

Hat jemand ähnliche Erfahrungen oder eine Idee warum das Traffic Shaping auf einmal nicht mehr richtig funktioniert?

Ich habe mir bereits eine neue OPNSense basierenden auf einen intel i5 mit ausreichend RAM und Festplatte zugelegt. Aber dort waren die Geschwindigkeiten teilweise noch langsamer als auf meinem alten System.
Bin daher wieder zurück zum alten gewechselt solange ich nicht weiß, wie ich den Fehler beheben soll...

Grüße aus Bremen

5

German - Deutsch / Adressen im GuestNet über LAN erreichen

« on: January 14, 2021, 09:51:51 am »

OPNsense 20.7-amd64
FreeBSD 12.1-RELEASE-p7-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Ich habe eine opnsense mit 3 Lan Anschlüssen
WAN (statische IP vom Provider)
LAN 192.168.0.1 /24
GUESTNET 10.0.1.1 /24
und einem VLAN
USERPC 10.0.10.1 /24

Am LAN hängen alle internen Rechner, Drucker, etc....
Im GUESTNET ist CaptivePortal aktiviert und dient Hotelgästen als Internetzugang.
Daran hängen mehrere Access Points
USERPC ist ein VLAN an der GUESTNET-Schnittstelle, daran hängen zwei PCs für Gäste


Aufbau im Prinzip wie folgt:

                           |-LAN (192.168.0.1)
                           |
WAN (statische IP)---------|-GUESTNET (10.0.1.1)
                               |
                               |-USERPC (10.0.10.1)

funktioniert so weit auch ganz gut.
Nun würde ich gerne mit einem Managed-Switch vom LAN auf die APs im GUESTNET zugreifen.

VLAN-IDs usw. sind zugeteilt, funktioniert auch soweit so gut.
Allerdings kann ich mit dem PC im LAN, der in der IP Konfiguration zwei statische IP4 Adressen zugewiesen bekommen hat, lediglich auf den opnSense zugreifen.

IP4 vom PC im LAN ist: 192.168.0.55 und im GUESTNET 10.0.1.2

Mit dem Tool "Portscan" werden im LAN alle vergebenen Adressen angezeigt,
Im GUESTNET ist nur die 10.0.1.1 aufzufinden.

Ich vermute mal, dass es irgendeine Firewall-Regel sein wird.
Komme jetzt aber auf anhieb nicht darauf, wie diese aussehen sollte.
Nach Möglichkeit sollten die APs, die im GUESTNET außerhalb des DHCP liegen NUR vom LAN aus erreichbar sein und vom GUESTNET ein Zugriff weiterhin gesperrt bleiben.

Anbei mal meine Firewall Regeln für die beiden Schnittstellen und meine NATs.

Bitte um Hilfe.

Danke

6

German - Deutsch / WAN mit statischer IP vom Provider | wo einstellen?

« on: December 11, 2020, 09:41:01 pm »

Hallo,
bisher hängt meine OPNSense mit aktueller Firmware
OPNsense 20.7-amd64
FreeBSD 12.1-RELEASE-p7-HBSD
OpenSSL 1.1.1g 21 Apr 2020
direkt hinter einer FritzBox.
Diese war mit der IP-Adresse als WAN-Gateway eingerichtet.
Dazu gab es ein LAN mit statischer IP und DHCP (192.168.XXX.1) und ein GUESTNET auf dem das CaptivePortal mit statischer IP und DHCP (10.0.X.X) eingerichtet ist.
Läuft soweit alles wunderbar.

Nun habe ich einen Glasfaser-Anschluss mit fester IP bekommen.
Die OPNSense würde dann direkt am Übergabepunkt hängen und sich mit statischer IP ins Internet verbinden.
Nur bekomme ich es nicht hin, die entsprechenden Werte da einzutragen wo sie hingehören.

Das hier habe ich vom Provider erhalten:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Hier die dazugehörigen IP-Daten zum Internetanschluss zur Inbetriebnahme für Sie / Ihre IT
 

Die Daten für IPv4 lauten wie folgt:
 
Sie / Ihre IP-Adresse(n):    37.XX.XXX.206
Wir / Gateway-IP:            37.XX.XXX.205
 
Netz:                        37.XX.XXX.204/30
Maske:                       255.255.255.252
DNS / Nameserver:            185.XX.XXX.33 / 185.XX.XXX.49
 
 
Die Daten für IPv6 lauten wie folgt:
 
Sie / Ihre IP-Adresse:       2a00:XXXX:c110:f1::2
Wir / Gateway-IP:            2a00:XXXX:c110:f1::1
 
Transfernetz:                2a00:XXXX:c110:f1::/64
 
Ihr Präfix:                  2a00:XXXX:c100:ef00::/56 gerouted auf 2a00:XXXX:c110:f1::2
 
 
An unserem Netzabschlussgerät ist dann der der Port „ETH1“ zu nutzen, dort schließen Sie Ihren Router / Ihre Firewall an.
 
Es werden keine weiteren Zugangsdaten benötigt, die o.g. IP-Konfiguration ist statisch auf Ihrem Endgerät zu hinterlegen (kein PPPoE o.ä.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


Meine eigene IP Adresse ist dann meine öffentliche und die sollte doch mit der bei LAN nur wenig zu tun haben.
Im Prinzip ersetzt die doch lediglich mein DynDNS.

Ich hoffe es gibt hier jemanden, der mir weiterhelfen kann.
Ich bin der Meinung es ist irgendwas mit der WAN Schnittstelle und einem neuen Gateway.
Bekomme es aber nicht hin....

Für Hilfe, Tipps und Anregungen wäre ich dankbar.

7

German - Deutsch / RADIUS Server auf anderer Schnittstelle

« on: October 08, 2016, 08:57:17 pm »

Moin.
Ich hab schon etliches durchsucht, bin aber leider nicht fündig geworden.
Deshalb nun hier meine Frage:
Ich bin kürzlich von pfsense auf OPNsense umgestiegen.
Ich nutze es als Captive Portal um Hotelgästen einen LogIn ins Internet zu bieten.
Nun würde ich diesen LogIn gerne über einen Radius laufen lassen.
Da ich eine Synology mit Radius habe, wollte ich diesen auch gerne nutzen.
Allerdings liegt die Synology auf einer anderen Schnittstelle.
Momentan ist die OPNsense wie folgte konfiguriert:
1. Schnittstelle -> WAN
2. Schnittstelle -> LAN im Bereich 192.168.0.X vergeben per statischer IP
3. Schnittstelle -> CP (WLAN) im Bereich 10.0.1.X mit DHCP startet ab 10.0.1.100

Die Synology mit dem Radius hat die IP 192.168.0.250
Lege ich an die Schnittstelle nun einen AP und versuche mich darüber zu verbinden erfolgt der LogIn problemlos über den Radius.
Wechsel ich nun die Schnittstelle und lege den AP mit statischer IP (da diese ja im RADIUS eingetragen werden muss), auf die 3. Schnittstelle passiert leider NIX.
Ich hab schon versucht in der Firewall den PORT 1812 (Authentifizierung) freizuschalten, also alle Anfragen aus dem WLAN über diesen PORT an die LAN Adresse 192.168.0.250 zu erlauben, im UDP wie auch im TCP.
Das brachte leider keinen Erfolg.

Daher nun meine Fragen:
Ist es generell möglich den RADIUS auf einer anderen Schnittstelle laufen zu lassen?
Wie sind die dazu nötigen Einstellungen in der Firewall.
Bedarf es einer Regel oder einer Portweiterleitung?

Hoffe auf Hilfe.
Danke
Nils

EDIT: Ich hab es nochmal mit einer Portweiterleitung probiert:
Schnittstelle: WLAN
Protokoll: any
QuellAdresse: WLAN Netzwerk
Ports: jegliche
Zieladresse: 192.168.0.250
Ports: jegliche
NAT Ports: 1812

Wenn ich mich nun mit dem AP verbinde, erfolgt eine Frage nach Benutzername und Kennwort.
Leider scheinen die nicht akzeptiert zu werden.
Irgendwo muss hier der Fehler liegen.
Denn auf Schnittstelle 2 wurden diese akzeptiert.