Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - Wayne Train

#1
Hallo,

vielleicht hat jemand ein ähnliches Problem:

Ich habe mir wie in der Wiki beschrieben einen Maxmind-Account für GeoIP-Lite angelegt und einen Key generiert.
Wenn ich diese URL nun in den GeoIP-Tab paste, erscheint immer wieder beim Aufruf der Aliase die Meldung:

"In order to use GeoIP, you need to configure a source in the GeoIP settings tab"

Für mich sieht es so aus, dass die OPN nicht merkt, dass da bereits was eingetragen wurde. Muss ich vielleicht noch irgendwas reloaden oder restarten ?

In der /conf/config.xml steht die URL übrigens auch ganz normal drin.

oder muss ich den alten Alias löschen und alles neu anlegen ?

Danke schonmal.
MFG

#2
German - Deutsch / Syslog-ng und Syslog
October 25, 2019, 11:13:30 AM
Hi,

habe gestern ein Upgrade auf 19.7.5_5 gemacht. Ist die folgende Meldung ein "Überbleibsel" aus BSD, oder auch für OPNsense relevant ? Bei mir laufen nämlich aktuell Syslog (local) und Syslog-ng....

syslog-ng is now installed! To replace FreeBSD's standard syslogd
(/usr/sbin/syslogd), complete these steps:

1. Create a configuration file named /usr/local/etc/syslog-ng.conf
(a sample named syslog-ng.conf.sample has been included in
/usr/local/etc). Note that this is a change in 2.0.2
version, previous ones put the config file in
/usr/local/etc/syslog-ng/syslog-ng.conf, so if this is an update
move that file in the right place

2. Configure syslog-ng to start automatically by adding the following
to /etc/rc.conf:

syslog_ng_enable="YES"

3. Prevent the standard FreeBSD syslogd from starting automatically by
adding a line to the end of your /etc/rc.conf file that reads:

syslogd_enable="NO"

4. Shut down the standard FreeBSD syslogd:

kill `cat /var/run/syslog.pid`

5. Start syslog-ng:

/usr/local/etc/rc.d/syslog-ng start

Ich stell die Frage, weil die genannten Pfade und Dateien so nicht 1:1 auf meinem System existieren.
Kann ich das einfach ignorieren, oder ist heri Handlungsbedarf angesagt ? Oder anders formuliert, welchen Syslog sollte ich verwenden ? Falls Syslog-NG, wo deaktiviere ich den legacy Syslog zuverlaässig ?
Danke schonmal.
MFG
Wayne
#3
Hi,

wo tweake ich am besten die SSH-Settings der OPNsense, sodass sie bei Updates nicht überschrieben werden ?

In dieser Datei ?

/usr/local/etc/ssh/sshd_config

Oder gibt es doch noch was in der GUI, was ich übersehen habe ?

Ich frage, weil zum Teil suboptimale MACs und Kex genutzt werden...

MFG Wayne
#4
Hallo,

ich habe seit geraumer Zeit folgendes Problem: Wir haben zwei Standorte A und B, die wiederum jeweils mit einem Tunnel mit Stabndort C verbunden sind. C befindet sich hiner einer Fritzbox, die die OPN als "exposed host" behandelt. Auf Firewall B gibt es maximal 4 SPIs und die RAM-Auslastung bleibt normal.

Bei der Verbindung A nach C sind aktuell 267 SPIs vorhanden und die RAM-Auslatung steigt kontinuierlich an, bis die Kiste irgendwann nicht mehr erreichbar ist.

ipsec status con3 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
     267
ipsec status con2 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
       4

Ich vermute mal, dass es mit unserer Anbindung an sich zusammenhängt, da die Config von A und B identisch ist. Vor A aber noch eine Fortinet hängt, vor B nicht.

Darüber hinaus meldet A immer wieder "ESP_TFC_PADDING_NOT_SUPPORTED" für den besagten Tunnel. Eine Einstellung wo ich das Padding für diese Verbuindung deaktivieren kann, habe ich allerdings nioch nicht gefunden.

Hat jemand ne Idee, oder mal ein ähnliches Verhalten beobachtet ?
Danke.

MFG
Wayne
#5
Hallo,
ich versuche das Captive Portal auf HA umzubauen. Gibt es eine Möglichkeit die Voucher zwischen den Nodes zu syncen ?
Grüße
Wayne
#6
Hi,

seit etwa 3-4 Monaten steigt die RAM-Auslastung der OPNsense über einen Zeitraum einer Woche immer weiter an, bis sie irgendwann garnicht mehr reagiert. Leider habe ich es bisher nicht geschafft, die Ursache dafür zu finden, bzw. den Prozess auszumachen, der dafür verantwortlich ist. Ich vermute allerdings, dass es an einem IPSec Tunnel liegt, da dort bei einem der Tunnel extrem viele SPIs angelegt werden die für mich persönlich aufgrund der Time in den Stats wie Duplikate aussehen. Das ist aber auch nur eine Vermutung. Hat jemand eine Idee, woran das liegen könnte, bzw. wie ich das ganze weiter eingrenzen kann.
Auf einer anderen OPNsense, auf der ich ebenfalls einen Tunnel zur gleichen Destination aufbaue, läuft der RAM nicht voll.

Mittels top und ps konnte ich bisher auf nichts brauchbares stoßen.

Wäre cool, wenn jemand noch ne Idee hätte, oder einen Tipp parat hat.
MFG
#7
Hi,
hat jemand eine Idee, wie ich herausfinden kann, was dafür verantwortlich ist, dass die RAM-Auslastung auf meiner FW kontinuierlich ansteigt ? Bis 18.7.6 war alles ok und es bewegte sich immer im Bereich um die 20-25%. Aktuell bin ich auf 19.1.1, aber auch auf 18.7.9 und 18.7.10 machte das bereits Probleme. Ich habe ja die Vermutung, dass das vielleicht durch einen weiteren IPSec-Tunnel hervorgerufen wird, der im Gegensatz zu den anderen (IKEv2) mit IKEv1 arbeitet, aber ich schaffe es irgendwie nicht, dass Ganze irgendwie einzugrenzen.
Jemand 'ne Idee ?
MFG
#8
Hi,
kennt jemand  eine elegantere Lösung einen bestimmten DNS Server innerhalb eines HA-Setups zu erzwingen, als dafür eine NAT Regel zu schreiben, die alles was aus einem bestimmten Netz an 53/UDP geht zu natten ?
Vielen Dank schonmal.
#9
Hi,

hat vielleicht jemand eine Idee, woran es liegen könnte, dass der Redirect, bei Apple-Geräte funktioniert, bei Android hingegen nicht ?

Meine Config sieht wie folgt aus:

<captiveportal version="1.0.0">
      <zones>
        <zone uuid="aaaaaa-bbbb-cccc-dddd-eeeeeeeeeeeee">
          <enabled>1</enabled>
          <zoneid>0</zoneid>
          <interfaces>optX</interfaces>
          <authservers>CaptivePortal</authservers>
          <authEnforceGroup/>
          <idletimeout>0</idletimeout>
          <hardtimeout>0</hardtimeout>
          <concurrentlogins>0</concurrentlogins>
          <certificate>cert_id</certificate>
          <servername>login.my-domain.com</servername>
          <allowedAddresses>10.100.x.x, 10.100.y.y</allowedAddresses>
          <allowedMACAddresses>b8:xx:xx:xx:xx:xx, b7:yy:yy:yy:yy:yy</allowedMACAddresses>
          <transparentHTTPProxy>0</transparentHTTPProxy>
          <transparentHTTPSProxy>0</transparentHTTPSProxy>
          <template>xxx</template>
          <description>Captive Portal</description>
        </zone>
      </zones>

Der DNS-Record des CP ist von beiden Geräten aus aufzulösen und auch sonst kann ich keinen wirklichen Unterscheid sehen...

Jemand ne Idee ?

MFG
Wayne
#10
Hi,
entweder bin ich vollkommen blind, oder der Button zum Import von Usern aus dem LDAP ist verschwunden...
Kann mir jemand sagen, wo er ist, oder wie ich jetzt neue user importiere ?
MFG
Wayne
#11
Hallo,

mir ist mein Master-Node mitten im Upgrade abgestürzt und war danach im Eimer. Anschliessend habe ich OPNsense komplett neu installiert. Nachdem ich die Config aus dem Backup eingespielt habe, habe ich Probleme mit CARP.
Nun ist meine Frage: Kann es sein, dass CARP abgesehen vom Usernamen in den HA-Einstellungen und den jeweiligen Virutal-IPs und deren Passwörtern intern noch andere Parameter verwendet, wie zum Beispiel den SSH-Fingerprint o.ä? 
Dieser hat sich nach der Neuinstallation ja geändert...
MFG Wayne
#12
German - Deutsch / FYI: Application based Filtering
August 07, 2018, 03:41:10 PM
Bin ich gerade drüber gestolpert:

https://www.sunnyvalley.io/sensei

Muss ich mir mal auf einem Test-System ansehen.
MFG
Wayne
#13
German - Deutsch / NAT-Regel-Erstellung umschalten
August 07, 2018, 03:12:12 PM
Hi,
ich habe hier leider gerade nur zwei Produktiv-Systeme, daher kann ich es selbst nicht testen.
Was passiert genau, wenn ich die NAT-Regel-Erstellung auf "manual" umschalte ? Bleiben die Automatischen, sofern es schon mal welche gab bestehen, oder ist dann erstmal alles weg ?
Ich müsste manuell eine speziele Regel hinzufügen, der Modus steht aber auf automatisch und hab ein wenig Angst, dass mir alles fliegen geht... Ich meine aber, das ich das an einer anderen OPN schonmal gemacht habe und die bereits vorhandenen Regeln bestehen blieben. Kann das jemand bestätigen ?
MFG
Wayne
#14
German - Deutsch / Routing über IPsec
August 07, 2018, 09:39:31 AM
Hallo,

ich habe folgendes Szenario: Zwei Standorte, die über IPSec miteinander verbunden sind. Standort A hat eine Active Directory,
auf die ich gerne von Staqndort B zugreifen möchte, bzw. gegen die ich authentifizieren möchte, von der OPNsense an Standort B.
Wenn ich jetzt versuche aus dem Netz B auf die AD in Netz a zuzgreifen funktioniert alles. Wenn ich jedoch versuche von der Firewall an Standort B selbst zuzugreifen, versucht er das ganze über das default GW und die Anfrage läuft sich tot.
Wie bringe ich der OPNsense bei, dass sie für Anfragen die von ihr selbst kommen und die ins Netz A sollen, den IPsec-Tunnel nutzt ?
Als Interface für IPsec vermute ich enc0, aber so wirklich erklären kann ich mir das Verhalten nicht...
Wäre super, wenn jemand einen Tipp hätte.

MFG
Wayne
#15
German - Deutsch / Custom Crons nach Updates
August 03, 2018, 09:36:10 AM
Hi,
ich kopiere mir meine Config immer zur Sicherung nochmal automatisch per cron auf einen internen Server. Wenn ich Updates einspiele sind die crons allerdings immer verschwunden. Ich mach das klassisch über "crontab -e". Kann es sein, dass ich das an der falschen Stelle mache ? Wo müsste ich sie hinterlegen, damit das Ganze persistent bleibt ?
MFG
Wayne
#16
Hi,
ich habe eine Verständnisfrage. Ich möchte den Zugriff über OpenVPN auf bestimmte interne Maschinen beschränken. Dazu habe ich alle in einen Alias gepackt und einen weiteren Alias angelegt, der die entsprechenden TCP-Destination-Ports beinhaltet. Als Source habe ich natürlich das OpenVPN-Netz angegeben. Der Zugriff funktioniert allerdings nicht. Läuft das anders, als bei anderen Interfaces ? Bei den Rules auf meinem LAN-Interface sage ich zum Beispiel "ihr dürft über TCP auf folgende Maschinen" und dort funktioniert das auch...
Oder wäre es vielleicht sinnvoller, den Tunnel so zu konfigurieren, dass die Clients direkt in ihr ensprechendes Netz gemappt werden, also ein Bereich im Netz, den vom DHCP auslasse... ? Ich meine damit, kein eigenes OpenVPN-Netz anzulegen, sonder über ein TAP-Interface, die Clients direkt in ihr Netz zu bridgen.
MFG
Wayne
#17
Damn.... Habe gerade mal gegooglet wo ich Bugs melden kann und das geht wohl echt nur über GitHub ???
Da lege ich mir jetzt jedenfalls keinen Account an. Die wurden nämlich gerade von Microsoft gekauft. Das muss echt nicht sein.


Edit (Mod): Ich habe das Topic zur Übersichtlichkeit gesplittet, da IMHO der restliche Part jetzt absolut nichts mehr mit dem Problem zu tun hat und dazu die Kommentare doch durchaus noch sinnvoll wären. Der Rest darf hier jetzt gern totdiskutiert werden. -jegr
#18
Hi,
ich habe folgendes Problem: Im Outbound NAT habe ich eine Regel hinterlegt, die immer auf das jeweilige Interface des Nodes natted, damit ich die FWs von einem anderen Standort auch beide erreichen kann. Dazu habe ich folgende Regel hinterlegt

SRC = SOURCE_NET   ->   DST =  FW_ALIAS_BOTH_NODES  -> NAT = INTERFACE_ADDRESS

Nun ist es aber so, dass auf dem Master-Node korrekt wie zu erwarten die "Interface Address" in der Policy steht. Auf dem Backup-Node steht allerdings nicht der Alias "Interface Address", sondern die IP-Adresse des Master-Nodes. Das hat zur Folge, dass ich über den Tunnel nicht mehr an den Backup Node komme.

Da ich mir gerade nicht vorstellen kann, dass dies das erwünschte Verhalten ist, wollte ich mal nachhören, was ihr so meint. Wenn ihr die gleiche Vermutung habt, würde ich es als Bug melden.

MFG & einen sonnigen Tag noch
Wayne
#19
Hi,

ich habe folgendes Problem: Wenn ich die Firewall über URL aufrufen möchte, dann funktioniert das nicht, da mir falsche DNS-Records geliefert werden. Das hier (101 bis 105) sind meine VLANs:

fw1.mydomain.com has address 192.168.105.10
fw1.mydomain.com has address 192.168.103.10
fw1.mydomain.com has address 192.168.101.10
fw1.mydomain.com has address 192.168.102.10
fw1.mydomain.com has address 192.168.104.10

Im Unbound existiert ein Record für fw1.mydomain.com, der auf die 192.168.102.10 zeigt. Wenn ich die URL im Brwoser aufrufe, passiert aber nix, da mir die FW selbst die obige Antwort auf meine DNS-Query gibt und mein Browser dann versucht die 192.168.105.10 zu nutzen, auf der aber keine WebGUI mehr lauscht. Hat jemand eine Idee, wie ich dem Unbound beibringe, dass er mir auch nur den Record liefer, den ich auch brauche ?

Ich würde das nur ungern durch NAT lösen...
Thx
Wayne

#20
German - Deutsch / [SOLVED] Revoke User-Cert
May 15, 2018, 04:26:28 PM
Hey,
das mag 'ne wirklich dumme Frage sein, aber ich finde es gerade einfach nicht...
Wo kann ich ein User-Cert revoken, dass ich für OpenVPN nutze ?
MFG
Wayne