Topics

HI,

after upgrade to 24.7.4 my zerotier connection are death.
Move back to 24.7.3 they are working.
What is wrong?

Greetings Mario

HI,

ich möchte den Glasfaseranschluß direkt mit der OpnSense verbinden also direkt ohne ONT.
Jetzt bräuchet ich APON zum Ende des Jahres XGS-PON.
Hat das jemand schon gemacht? Welche Netzwerkkarte und Modul habt ihr benutzt?

Gruß Mario

HI,

habe gerade ein Phänomen was absolut verrückt ist.
3cx hinter Opsense Laufzeit mehr als 5 Jahre ohne Problem.
Nun seit heute 10 Uhr etwa kommt die 3cx nicht mehr ins Internet.
DNS geht aber, IP ist auch nicht doppelt belegt. Eingehend geht alles.
Ändere ich von der 192.168.1.3 auf die 192.168.1.6 geht es wieder. Ist auch keine Lösung da ich alle Telefone mal anlangen müsst.
Ping sagt dann auch das die 192.168.1.3 frei ist.
Ändere ich wieder zurück geht wieder nix. Liveansicht sagt auch nix.
Bin gerade extrem ratlos, das gleiche Problem hatte ich mal vor 3 Monaten aber bei 8 Nebenstellen war das mit der IP schneller die Lösung.

Gruß Mario

HI,

vielleicht kann mir jemand einen Tip geben.
Folgende Konstellation.
RDS Server: 192.168.0.10
TS1: 192.168.0.5
TS2: 192.168.0.6
TS3: 192.168.0.7
Eingehend kommt über IPSEC.
Die Nat Regel sieht wie folgt aus.

Schnittstelle: IPSEC
Protokoll: TCP/UDP
Quelle 93.122.71.32/27
Ziel: jegliche -> Das verstehe ich auch nicht, ich möchte das er nur ins LAN schaut aber wenn ich das mache geht nix mehr.
ZielPortbereich: 3389
Ziel Alias RDS Server 192.168.0.10
Zielport: 3389

wenn ich nun aus dem Ipsec Netz komme dann sehe ich im Log das er sich mit 192.168.0.10:3389 verbindet und grün ist. Es kommt auch der Anmelde Login dann versucht er zu verbinden es kommt auch kurz es wird Konfiguriert dann bricht er ab. Im RDS steht das er ihn gerne auf einen TS1-3 weiter geben will.
Es kommt kein Fehler in Log der Firewall aber es geht nicht.
Es sieht so aus als würde er in der Firewall den Umschwung zu den TS nicht machen.
Im Alias habe ich schon einiges probiert, neben den RDS auch die TS Server.
Ein Netzwerkgruppe auch kein Erfolg.
Bin gerade etwas ratlos.

hat einer eine Idee wie man das lösen kann?

Gruß Mario

HI,

habe folgendes Problem, ich muss mehrere Ipsec Netze anbinden. Da die IpSec Netze nicht wie bei Zerotier als getrennte Netze laufen, würden sich ja alle Netze Untereinander sehen das möchte ich nicht.
Gibt es eine Möglichkeit die verschiedenen Netze zu segmentieren?

Gruß Mario

Hi,

vielleicht hat jemand eine Idee für mich.
Folgende Ausganglage 2x Opnsense per TAP Openvpn verbunden und per Bridge mit 2 Physikalischen Lanports verbunden. Ich möchte nun auf der 2 End Seite einen VPN Router hängen der 2 öffentlich Ip Adresse eingetragen hat und diese auf der ersten Seite über den Lanport in Internet bringt also sozusagen ich möchte wie ein ewig langes Netzwerkkabel. Leider bekomme ich keine Daten durch. Wenn ich auf der ersten Seite den Lan zu testen nehme kommt auf der 2 alles an. Bin da gerade etwas ratlos?

Gruß Mario

Hi,

habe gerade ein Hirn Blockade :-(
Habe mit WG 2 Opnsense Side to Side verbunden, ich kann bis auf eine IP Adresse auf beiden Seiden alles andere ohne Probleme erreichen und es geht alles.
Side A 53.102.159.0 Side B 53.102.173.0
Ja ich weiß sind öffentlich Adressen, ist leider so und hat auch einen Hintergrund.
In Side B steht ein spezieller Router der hat die 53.102.173.2.
Ich kann einfach nicht von der Side A den Router 53.102.172.2 erreichen, und ich verstehe nicht warum.
Laut Liveansicht wird nix geblockt. Beim Tracert kommt nach der Tunneladresse nix mehr.
Ich verstehe nicht wo mein Fehler liegt :-(

Gruß Mario

HI,

vielleicht hat jemand ein Tip für mich bin gerade etwas überfragt.
Bei Lets Encrypt wurde ja zum 29.9.21 ein altes R3 Zertifikat abgeschalten.
Das hat ja zu folge das die Zertifikatskette nicht mehr stimmt.
Ich dachte da ich schön brav alle Update drauf habe passiert mir nix.
Habe auch gesehen das aus Lets Enrypt der Acme Client wurde.

Leider war dem nicht so, die Zertifikate werden nun angemault als nicht mehr Vertrauenswürdig.
Wenn ich ich mir unter Sicherheit die Zertifikate anschaue dann werden die immer noch mit R3 Lets Encrypt mit dem abgelaufenen Zertifikat ausgestellt beim neuen R3 Acme Client kein einziges. Wie schaffe ich es nun das er auf den Acme umschwenkt? Ich finde keine Einstellung die das auslöst?
Bin da echt etwas irritiert.

Ha da einer eine Idee?

Gruß Mario

Konnte es doch lösen, man muss erst das alte Zertifikat R3 löschen und dann die Zertifikate neu erstellen. Naja hätte man schon geschickter lösen können.

Gruß Mario

Zusatz man muss noch im Ha Proxy die Zertifikate im öffentlichen Pool neu hinzufügen.

HI,

i do an upgrade to 19.7.7 now my Outlook 2010 do not connect anymore over my ha proxy to the exchange 2013.
Outlook 2013 work perfekt.
I confused why, any help for me?

Greetings Mario

Hi Pros,

habe seit einigen Versionen das Problem, dass UDP Traffic hinter opnsense extrem langsam bzw. zäh ist.
Egal ob Teamviewer oder Zerotier dahinter sind faktisch unbrauchbar.
Ich sehe aber keine UDP drops in der Firewall.
Die Firewall ist direkt an Internet angeschlossen ohne Zwischenrouter.
Interessant ist aber das der udp Traffic zu Firewall keine Probleme hat.
Ist nur wirklich danach.

Kennt jemand das verhalten?

Gruß Mario

HI,

since some versions I have Problems with UDP Connection behind opnsense.
All UDP traffic behind is terrible slow and really unsable.
UDP to the Firewall are OK.
Teamviewer or Zerotier use udp for traffic both are so slow like 56k modem.

TCP ist no problem.
Firewall is set to conservative.
No UDP drops in Firewall.
Any Idea what is wrong?

No firewall behind or in front off. All hat direct Internet Connection.

Greetings Mario

HI,

since days i see that the disk are getting full.
First i think sucrita log do it. But now it is full and i do not find where i gettings full.


root@OPNsense:/ # df -T
Filesystem       Type  1K-blocks     Used    Avail Capacity  Mounted on
/dev/gpt/rootfs  ufs    47097880 47076808 -3746756   109%    /
devfs            devfs         1        1        0   100%    /dev
devfs            devfs         1        1        0   100%    /var/unbound/dev
devfs            devfs         1        1        0   100%    /var/dhcpd/dev

root@OPNsense:/ # du -mah | sort -rh | head -n 20
1.2G    .
907M    ./usr
535M    ./usr/local
305M    ./usr/local/lib
220M    ./boot
171M    ./usr/bin
136M    ./usr/local/lib/python2.7
109M    ./boot/kernel.old
109M    ./boot/kernel
96M    ./usr/share
65M    ./usr/local/etc
62M    ./usr/local/lib/perl5
60M    ./usr/lib
59M    ./usr/local/lib/python2.7/site-packages
58M    ./usr/local/lib/perl5/5.26
53M    ./usr/bin/lldb
50M    ./usr/local/etc/suricata
49M    ./usr/bin/c++
45M    ./var
42M    ./usr/local/sbin
root@OPNsense:/ # ls
.cshrc                          COPYRIGHT                       dev                             libexec                         proc                            sys
.probe.for.install.media        bin                             etc                             media                           rescue                          tmp
.profile                        boot                            home                            mnt                             root                            usr
.snap                           conf                            lib                             net                             sbin                            var
root@OPNsense:/ #


Greetings Mario

HI Pros,

I use a lot of Servers behind Opnsense with Zerotier Clients on it.
Now my Problem is Zerotier does not really work fast if it is behind 2NATs. This cannot be changed.
Because then there is no direct connection between both zero clients and then he will route over Zero Global server and this ist really really slow.
My problem is, I oppend all int Firewall and see no Blocks ind Firewall. But the Clients will not connect direct.
Has someone the same problem? An better an fix?

Greetings MArio

Hi,

ich hoffe hier sind einige Pros die eine Idee haben.
Folgende Konstellation: Opensense auf VPS Server macht Zerotier VPN zu zweiter Opnsense an der ein Exchange hängt.
An der ersten Opnsense ist HA proxy aktiviert und leitet alles zur IP Adresse der Zerotier am zweiten Opnsense weiter. Dort habe ich ein NAT Regel die sagt alles vom Zerotier VPN soll an die IpAdresse das Exchange per https.
Teste ich das ganze per OWA ohne Outlook geht es super gut und habe keine Probleme.
Und jetzt kommt es aber, hole ich mir Outlook dazu kommt nach etwa 30 Minuten kein Client mehr zum Exchange durch egal ob owa oder Outlook und das verstehe ich nicht. Es sieht so aus als würde die 2 Opnsense den Sack zumachen, da ich per Owa die Meldung bekomme das dahinter kein Dienst mehr ist. Was aber Quatsch ist da der Exchange über seinen Ursprünglich Zugang noch geht.

Bin jetzt echt ratlos :( Hat jemand eine Idee???

Das Schema:
Opensense VPS x.x.x.x/32 -> HA Proxy auf 192.168.198.100(Zerotier Endpunkt auf Opnsense 2 beim Exchange)


Gruß Mario

HI,

stehe etwas auf Schlauch. Habe folgendes Szenario, ich möchte hinter der opnsense mehrere Server mit SSL versorgen mit verschiedenen Domains.
Habe schön Brav die Realserver, Backend, ACL und Aktionen.
Bei den den öffentlichen Dienst habe ich jeden Server seine eigene Domain und Zertifikat zugeordnet.
Aber sobald ich alle aktiviere bekommt immer einer der Server das Falsche Zertifikat zugeordnet.
Und ich verstehe das einfach nicht.
Bei ACL habe ich Path starts with /* benutzt.
Hat jemand ein Idee?

Gruß Mario

Hi,

i there a way to create an virtual interface the i can connect to lan?
I should feel like an real nic, but there should no connection on it.
No VLAN or something else. Opnsense should think it is an real nic.

Greetings Mario

HI,

i found this error.
If i connect a second zerotier tunnel und want connect them to an new interface.
He override my previous tunnel with the second zerotier tunnel. I can press + as often i will he change then only the Zerotier tunnel then.

Greetings Mario

HI,

ask the pro's among you.
I use the Open as HA Proxy with Lets encrypt to publish an Exchange.
Works great and never has problems.
On the Exchange, Cyperarms I used to have as a hedge against hacking accounts.
I would like to activate again, but this does not work because he only sees the IP address of opensense.
So the question to the professionals, one can set the HAproxy so that he passes on the IP requests from external to internal so Cyperarms can block the access again?

Greeting Mario

HI,

frage an die Pro's unter euch.
Ich nutze die Open als HA Proxy mit Lets encrypt um einen Exchange zu veröffentlichen.
Funktioniert super gut und hat nie Probleme.
Auf dem Exchange läuft Cyperarms das hatte ich früher als Absicherung gegen hacking vom Konten.
Das möchte ich wieder aktivieren, was aber nicht läuft da er ja nur noch die Ip Adresse der opensense sieht.
So die frage an die Profis, kann man den HAproxy so einstellen das er die IP Anfragen von extern nach intern weitergibt um so Cyperarms wieder die Zugriffe sperren kann?

Gruß Mario

Hallo Miteinander,

ich teste gerade opnsense und probiere einiges aus.
Gerade bin ich ipSec Site to Site VPN.
Aber anscheinend bin ich zu doof, obwohl ich mich genau an die Anleitung halte.
Der Internetzugang erfolgt auf beiden Seiten per Fritzbox, opnsense hängt dahinter.
Exposed Host ist in der Fritzbox auf die Opnsense eingerichtet.
Wenn ich nun nach Anleitung von der Wiki Seite den Tunnel einrichte dann findet er die zweite Seite.
Aber er baut keine Verbindung auf, ich bekomme im Protokoll nur Fehlermeldungen die mir nix sagen.
Rechner hinter der Opnsense gehen ohne Probleme ins Internet.
Hier die Konfig:
Site A:Fritzbox 192.168.1.5
Opensense: WAN 192.168.1.202 LAN 192.168.2.250
Site B: Firtzbox 192.168.178.2
Opnsense: WAN 192.168.178.199 LAN 192.168.4.250
Die Phase sind auf beiden Seiten gleich.

Das kommt auf Site A
Jan 25 22:28:52   charon: 15[IKE] received AUTHENTICATION_FAILED notify error
Jan 25 22:28:52   charon: 15[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 25 22:28:52   charon: 15[NET] received packet: from xx.xxx.xxx.xx[4500] to 192.168.1.202[4500] (88 bytes)
Jan 25 22:28:52   charon: 15[NET] sending packet: from 192.168.1.202[4500] to xx.xxx.xxx.xx[4500] (912 bytes)
Jan 25 22:28:52   charon: 15[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
Jan 25 22:28:52   charon: 15[IKE] establishing CHILD_SA con1
Jan 25 22:28:52   charon: 15[IKE] establishing CHILD_SA con1
Jan 25 22:28:52   charon: 15[IKE] authentication of '192.168.1.202' (myself) with pre-shared key
Jan 25 22:28:52   charon: 15[IKE] remote host is behind NAT
Jan 25 22:28:52   charon: 15[IKE] local host is behind NAT, sending keep alives
Jan 25 22:28:52   charon: 15[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Jan 25 22:28:52   charon: 15[NET] received packet: from xx.xxx.xxx.xx[500] to 192.168.1.202[500] (332 bytes)
Jan 25 22:28:52   charon: 06[NET] sending packet: from 192.168.1.202[500] to xx.xxx.xxx.xx[500] (332 bytes)
Jan 25 22:28:52   charon: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jan 25 22:28:52   charon: 06[IKE] initiating IKE_SA con1[12] to xx.xxx.xxx.xx
Jan 25 22:28:52   charon: 06[IKE] initiating IKE_SA con1[12] to xx.xxx.xxx.xx
Jan 25 22:28:52   charon: 07[CFG] received stroke: initiate 'con1'
Jan 25 22:02:48   charon: 12[CFG] received stroke: route 'con1'
Jan 25 22:02:48   charon: 07[CFG] added configuration 'con1'
Jan 25 22:02:48   charon: 07[CFG] received stroke: add connection 'con1'
Jan 25 22:02:48   charon: 12[CFG] deleted connection 'con1'
Jan 25 22:02:48   charon: 12[CFG] received stroke: delete connection 'con1'
Jan 25 22:02:48   charon: 07[CFG] received stroke: unroute 'con1'
Jan 25 22:02:48   charon: 09[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 25 22:02:48   charon: 09[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 25 22:02:48   charon: 09[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 25 22:02:48   charon: 09[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 25 22:02:48   charon: 09[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 25 22:02:48   charon: 09[CFG] loaded IKE secret for xx.xxx.xxx.xx
Jan 25 22:02:48   charon: 09[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Jan 25 22:02:48   charon: 09[CFG] rereading secrets
Jan 25 22:01:41   charon: 14[CFG] received stroke: route 'con1'
Jan 25 22:01:41   charon: 09[CFG] added configuration 'con1'
Jan 25 22:01:41   charon: 09[CFG] received stroke: add connection 'con1'
Jan 25 22:01:41   charon: 14[CFG] deleted connection 'con1'
Jan 25 22:01:41   charon: 14[CFG] received stroke: delete connection 'con1'
Jan 25 22:01:41   charon: 09[CFG] received stroke: unroute 'con1'
Jan 25 22:01:41   charon: 14[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 25 22:01:41   charon: 14[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 25 22:01:41   charon: 14[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 25 22:01:41   charon: 14[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 25 22:01:41   charon: 14[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 25 22:01:41   charon: 14[CFG] loaded IKE secret for xx.xxx.xxx.xx
Jan 25 22:01:41   charon: 14[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Jan 25 22:01:41   charon: 14[CFG] rereading secrets

Und das auf Site B
Jan 25 22:28:52   charon: 11[NET] sending packet: from 192.168.178.199[4500] to xx.xxx.x.xxx[4500] (88 bytes)
Jan 25 22:28:52   charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 25 22:28:52   charon: 11[IKE] peer supports MOBIKE
Jan 25 22:28:52   charon: 11[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jan 25 22:28:52   charon: 11[CFG] no matching peer config found
Jan 25 22:28:52   charon: 11[CFG] looking for peer configs matching 192.168.178.199[87.139.223.73]...xx.xxx.x.xxx[192.168.1.202]
Jan 25 22:28:52   charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
Jan 25 22:28:52   charon: 11[NET] received packet: from xx.xxx.x.xxx[4500] to 192.168.178.199[4500] (912 bytes)
Jan 25 22:28:52   charon: 08[NET] sending packet: from 192.168.178.199[500] to xx.xxx.x.xxx[500] (332 bytes)
Jan 25 22:28:52   charon: 08[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Jan 25 22:28:52   charon: 08[IKE] remote host is behind NAT
Jan 25 22:28:52   charon: 08[IKE] local host is behind NAT, sending keep alives
Jan 25 22:28:52   charon: 08[IKE] xx.xxx.x.xxx is initiating an IKE_SA
Jan 25 22:28:52   charon: 08[IKE] xx.xxx.x.xxx is initiating an IKE_SA
Jan 25 22:28:52   charon: 08[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jan 25 22:28:52   charon: 08[NET] received packet: from xx.xxx.x.xxx[500] to 192.168.178.199[500] (332 bytes)

Wer kann mich erleuchten? Was mache ich falsch.
Danke für jeden Hinweis.

Gruß Mario