OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Wayne Train »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - Wayne Train

Pages: [1] 2 3 4
1
German - Deutsch / [SOLVED] GeoIP updated nicht - In order to use GeoIP, you need to ...
« on: January 15, 2020, 04:14:09 pm »
Hallo,

vielleicht hat jemand ein ähnliches Problem:

Ich habe mir wie in der Wiki beschrieben einen Maxmind-Account für GeoIP-Lite angelegt und einen Key generiert.
Wenn ich diese URL nun in den GeoIP-Tab paste, erscheint immer wieder beim Aufruf der Aliase die Meldung:

"In order to use GeoIP, you need to configure a source in the GeoIP settings tab"

Für mich sieht es so aus, dass die OPN nicht merkt, dass da bereits was eingetragen wurde. Muss ich vielleicht noch irgendwas reloaden oder restarten ?

In der /conf/config.xml steht die URL übrigens auch ganz normal drin.

oder muss ich den alten Alias löschen und alles neu anlegen ?

Danke schonmal.
MFG


2
German - Deutsch / Syslog-ng und Syslog
« on: October 25, 2019, 11:13:30 am »
Hi,

habe gestern ein Upgrade auf 19.7.5_5 gemacht. Ist die folgende Meldung ein "Überbleibsel" aus BSD, oder auch für OPNsense relevant ? Bei mir laufen nämlich aktuell Syslog (local) und Syslog-ng....

syslog-ng is now installed! To replace FreeBSD's standard syslogd
(/usr/sbin/syslogd), complete these steps:

1. Create a configuration file named /usr/local/etc/syslog-ng.conf
(a sample named syslog-ng.conf.sample has been included in
/usr/local/etc). Note that this is a change in 2.0.2
version, previous ones put the config file in
/usr/local/etc/syslog-ng/syslog-ng.conf, so if this is an update
move that file in the right place

2. Configure syslog-ng to start automatically by adding the following
to /etc/rc.conf:

syslog_ng_enable="YES"

3. Prevent the standard FreeBSD syslogd from starting automatically by
adding a line to the end of your /etc/rc.conf file that reads:

syslogd_enable="NO"

4. Shut down the standard FreeBSD syslogd:

kill `cat /var/run/syslog.pid`

5. Start syslog-ng:

/usr/local/etc/rc.d/syslog-ng start

Ich stell die Frage, weil die genannten Pfade und Dateien so nicht 1:1 auf meinem System existieren.
Kann ich das einfach ignorieren, oder ist heri Handlungsbedarf angesagt ? Oder anders formuliert, welchen Syslog sollte ich verwenden ? Falls Syslog-NG, wo deaktiviere ich den legacy Syslog zuverlaässig ?
Danke schonmal.
MFG
Wayne

3
German - Deutsch / Wo persistentes "SSH-hardening" konfigurieren ?
« on: July 15, 2019, 10:45:52 am »
Hi,

wo tweake ich am besten die SSH-Settings der OPNsense, sodass sie bei Updates nicht überschrieben werden ?

In dieser Datei ?

/usr/local/etc/ssh/sshd_config

Oder gibt es doch noch was in der GUI, was ich übersehen habe ?

Ich frage, weil zum Teil suboptimale MACs und Kex genutzt werden...

MFG Wayne

4
German - Deutsch / RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?
« on: July 08, 2019, 10:43:18 am »
Hallo,

ich habe seit geraumer Zeit folgendes Problem: Wir haben zwei Standorte A und B, die wiederum jeweils mit einem Tunnel mit Stabndort C verbunden sind. C befindet sich hiner einer Fritzbox, die die OPN als "exposed host" behandelt. Auf Firewall B gibt es maximal 4 SPIs und die RAM-Auslastung bleibt normal.

Bei der Verbindung A nach C sind aktuell 267 SPIs vorhanden und die RAM-Auslatung steigt kontinuierlich an, bis die Kiste irgendwann nicht mehr erreichbar ist.

ipsec status con3 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
     267
ipsec status con2 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
       4

Ich vermute mal, dass es mit unserer Anbindung an sich zusammenhängt, da die Config von A und B identisch ist. Vor A aber noch eine Fortinet hängt, vor B nicht.

Darüber hinaus meldet A immer wieder "ESP_TFC_PADDING_NOT_SUPPORTED" für den besagten Tunnel. Eine Einstellung wo ich das Padding für diese Verbuindung deaktivieren kann, habe ich allerdings nioch nicht gefunden.

Hat jemand ne Idee, oder mal ein ähnliches Verhalten beobachtet ?
Danke.

MFG
Wayne

5
German - Deutsch / Captive Portal - Voucher Sync CARP
« on: May 28, 2019, 10:44:16 am »
Hallo,
ich versuche das Captive Portal auf HA umzubauen. Gibt es eine Möglichkeit die Voucher zwischen den Nodes zu syncen ?
Grüße
Wayne

6
German - Deutsch / RAM-Auslastung steigt kontinuierlich. IPSec ?
« on: May 10, 2019, 12:04:04 pm »
Hi,

seit etwa 3-4 Monaten steigt die RAM-Auslastung der OPNsense über einen Zeitraum einer Woche immer weiter an, bis sie irgendwann garnicht mehr reagiert. Leider habe ich es bisher nicht geschafft, die Ursache dafür zu finden, bzw. den Prozess auszumachen, der dafür verantwortlich ist. Ich vermute allerdings, dass es an einem IPSec Tunnel liegt, da dort bei einem der Tunnel extrem viele SPIs angelegt werden die für mich persönlich aufgrund der Time in den Stats wie Duplikate aussehen. Das ist aber auch nur eine Vermutung. Hat jemand eine Idee, woran das liegen könnte, bzw. wie ich das ganze weiter eingrenzen kann.
Auf einer anderen OPNsense, auf der ich ebenfalls einen Tunnel zur gleichen Destination aufbaue, läuft der RAM nicht voll.

Mittels top und ps konnte ich bisher auf nichts brauchbares stoßen.

Wäre cool, wenn jemand noch ne Idee hätte, oder einen Tipp parat hat.
MFG

7
German - Deutsch / RAM-Auslastung steigt kontinuierlich an
« on: February 08, 2019, 09:19:49 am »
Hi,
hat jemand eine Idee, wie ich herausfinden kann, was dafür verantwortlich ist, dass die RAM-Auslastung auf meiner FW kontinuierlich ansteigt ? Bis 18.7.6 war alles ok und es bewegte sich immer im Bereich um die 20-25%. Aktuell bin ich auf 19.1.1, aber auch auf 18.7.9 und 18.7.10 machte das bereits Probleme. Ich habe ja die Vermutung, dass das vielleicht durch einen weiteren IPSec-Tunnel hervorgerufen wird, der im Gegensatz zu den anderen (IKEv2) mit IKEv1 arbeitet, aber ich schaffe es irgendwie nicht, dass Ganze irgendwie einzugrenzen.
Jemand 'ne Idee ?
MFG

8
German - Deutsch / Bestimmten DNS-Server via NAT im HA/CARP-Setup erzwingen
« on: February 07, 2019, 09:49:55 am »
Hi,
kennt jemand  eine elegantere Lösung einen bestimmten DNS Server innerhalb eines HA-Setups zu erzwingen, als dafür eine NAT Regel zu schreiben, die alles was aus einem bestimmten Netz an 53/UDP geht zu natten ?
Vielen Dank schonmal.

9
German - Deutsch / [SOLVED] Captive Portal redirected nicht (Android)
« on: February 04, 2019, 03:27:43 pm »
Hi,

hat vielleicht jemand eine Idee, woran es liegen könnte, dass der Redirect, bei Apple-Geräte funktioniert, bei Android hingegen nicht ?

Meine Config sieht wie folgt aus:

<captiveportal version="1.0.0">
      <zones>
        <zone uuid="aaaaaa-bbbb-cccc-dddd-eeeeeeeeeeeee">
          <enabled>1</enabled>
          <zoneid>0</zoneid>
          <interfaces>optX</interfaces>
          <authservers>CaptivePortal</authservers>
          <authEnforceGroup/>
          <idletimeout>0</idletimeout>
          <hardtimeout>0</hardtimeout>
          <concurrentlogins>0</concurrentlogins>
          <certificate>cert_id</certificate>
          <servername>login.my-domain.com</servername>
          <allowedAddresses>10.100.x.x, 10.100.y.y</allowedAddresses>
          <allowedMACAddresses>b8:xx:xx:xx:xx:xx, b7:yy:yy:yy:yy:yy</allowedMACAddresses>
          <transparentHTTPProxy>0</transparentHTTPProxy>
          <transparentHTTPSProxy>0</transparentHTTPSProxy>
          <template>xxx</template>
          <description>Captive Portal</description>
        </zone>
      </zones>

Der DNS-Record des CP ist von beiden Geräten aus aufzulösen und auch sonst kann ich keinen wirklichen Unterscheid sehen...

Jemand ne Idee ?

MFG
Wayne

10
German - Deutsch / [SOLVED]: LDAP User-Import button verschwunden
« on: September 27, 2018, 04:08:22 pm »
Hi,
entweder bin ich vollkommen blind, oder der Button zum Import von Usern aus dem LDAP ist verschwunden...
Kann mir jemand sagen, wo er ist, oder wie ich jetzt neue user importiere ?
MFG
Wayne

11
German - Deutsch / [SOLVED] CARP Probleme nach Neuinstallation
« on: September 10, 2018, 09:58:54 am »
Hallo,

mir ist mein Master-Node mitten im Upgrade abgestürzt und war danach im Eimer. Anschliessend habe ich OPNsense komplett neu installiert. Nachdem ich die Config aus dem Backup eingespielt habe, habe ich Probleme mit CARP.
Nun ist meine Frage: Kann es sein, dass CARP abgesehen vom Usernamen in den HA-Einstellungen und den jeweiligen Virutal-IPs und deren Passwörtern intern noch andere Parameter verwendet, wie zum Beispiel den SSH-Fingerprint o.ä? 
Dieser hat sich nach der Neuinstallation ja geändert...
MFG Wayne

12
German - Deutsch / FYI: Application based Filtering
« on: August 07, 2018, 03:41:10 pm »
Bin ich gerade drüber gestolpert:

https://www.sunnyvalley.io/sensei

Muss ich mir mal auf einem Test-System ansehen.
MFG
Wayne

13
German - Deutsch / NAT-Regel-Erstellung umschalten
« on: August 07, 2018, 03:12:12 pm »
Hi,
ich habe hier leider gerade nur zwei Produktiv-Systeme, daher kann ich es selbst nicht testen.
Was passiert genau, wenn ich die NAT-Regel-Erstellung auf "manual" umschalte ? Bleiben die Automatischen, sofern es schon mal welche gab bestehen, oder ist dann erstmal alles weg ?
Ich müsste manuell eine speziele Regel hinzufügen, der Modus steht aber auf automatisch und hab ein wenig Angst, dass mir alles fliegen geht... Ich meine aber, das ich das an einer anderen OPN schonmal gemacht habe und die bereits vorhandenen Regeln bestehen blieben. Kann das jemand bestätigen ?
MFG
Wayne

14
German - Deutsch / Routing über IPsec
« on: August 07, 2018, 09:39:31 am »
Hallo,

ich habe folgendes Szenario: Zwei Standorte, die über IPSec miteinander verbunden sind. Standort A hat eine Active Directory,
auf die ich gerne von Staqndort B zugreifen möchte, bzw. gegen die ich authentifizieren möchte, von der OPNsense an Standort B.
Wenn ich jetzt versuche aus dem Netz B auf die AD in Netz a zuzgreifen funktioniert alles. Wenn ich jedoch versuche von der Firewall an Standort B selbst zuzugreifen, versucht er das ganze über das default GW und die Anfrage läuft sich tot.
Wie bringe ich der OPNsense bei, dass sie für Anfragen die von ihr selbst kommen und die ins Netz A sollen, den IPsec-Tunnel nutzt ?
Als Interface für IPsec vermute ich enc0, aber so wirklich erklären kann ich mir das Verhalten nicht...
Wäre super, wenn jemand einen Tipp hätte.

MFG
Wayne

15
German - Deutsch / Custom Crons nach Updates
« on: August 03, 2018, 09:36:10 am »
Hi,
ich kopiere mir meine Config immer zur Sicherung nochmal automatisch per cron auf einen internen Server. Wenn ich Updates einspiele sind die crons allerdings immer verschwunden. Ich mach das klassisch über "crontab -e". Kann es sein, dass ich das an der falschen Stelle mache ? Wo müsste ich sie hinterlegen, damit das Ganze persistent bleibt ?
MFG
Wayne

Pages: [1] 2 3 4
OPNsense is an OSS project © Deciso B.V. 2015 - 2020 All rights reserved
  • SMF 2.0.17 | SMF © 2019, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2