Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - Mann-IT

Pages: [1]

19.7 Legacy Series / 19.7.7 Outlook 2010 no connection ha proxy

« on: November 25, 2019, 08:25:10 am »

HI,

i do an upgrade to 19.7.7 now my Outlook 2010 do not connect anymore over my ha proxy to the exchange 2013.
Outlook 2013 work perfekt.
I confused why, any help for me?

Greetings Mario

German - Deutsch / UDP extrem langsam hinter opnsense

« on: May 06, 2019, 03:51:52 pm »

Hi Pros,

habe seit einigen Versionen das Problem, dass UDP Traffic hinter opnsense extrem langsam bzw. zäh ist.
Egal ob Teamviewer oder Zerotier dahinter sind faktisch unbrauchbar.
Ich sehe aber keine UDP drops in der Firewall.
Die Firewall ist direkt an Internet angeschlossen ohne Zwischenrouter.
Interessant ist aber das der udp Traffic zu Firewall keine Probleme hat.
Ist nur wirklich danach.

Kennt jemand das verhalten?

Gruß Mario

19.1 Legacy Series / Slow UDP connection behind opnsense

« on: May 06, 2019, 03:39:50 pm »

HI,

since some versions I have Problems with UDP Connection behind opnsense.
All UDP traffic behind is terrible slow and really unsable.
UDP to the Firewall are OK.
Teamviewer or Zerotier use udp for traffic both are so slow like 56k modem.

TCP ist no problem.
Firewall is set to conservative.
No UDP drops in Firewall.
Any Idea what is wrong?

No firewall behind or in front off. All hat direct Internet Connection.

Greetings Mario

18.7 Legacy Series / Disk Full

« on: January 07, 2019, 05:15:39 pm »

HI,

since days i see that the disk are getting full.
First i think sucrita log do it. But now it is full and i do not find where i gettings full.

root@OPNsense:/ # df -T
Filesystem Type 1K-blocks Used Avail Capacity Mounted on
/dev/gpt/rootfs ufs 47097880 47076808 -3746756 109% /
devfs devfs 1 1 0 100% /dev
devfs devfs 1 1 0 100% /var/unbound/dev
devfs devfs 1 1 0 100% /var/dhcpd/dev

root@OPNsense:/ # du -mah | sort -rh | head -n 20
1.2G .
907M ./usr
535M ./usr/local
305M ./usr/local/lib
220M ./boot
171M ./usr/bin
136M ./usr/local/lib/python2.7
109M ./boot/kernel.old
109M ./boot/kernel
96M ./usr/share
65M ./usr/local/etc
62M ./usr/local/lib/perl5
60M ./usr/lib
59M ./usr/local/lib/python2.7/site-packages
58M ./usr/local/lib/perl5/5.26
53M ./usr/bin/lldb
50M ./usr/local/etc/suricata
49M ./usr/bin/c++
45M ./var
42M ./usr/local/sbin
root@OPNsense:/ # ls
.cshrc COPYRIGHT dev libexec proc sys
.probe.for.install.media bin etc media rescue tmp
.profile boot home mnt root usr
.snap conf lib net sbin var
root@OPNsense:/ #

Greetings Mario

18.7 Legacy Series / Zerotier behind opnsense 2 NAT

« on: January 04, 2019, 01:10:21 am »

HI Pros,

I use a lot of Servers behind Opnsense with Zerotier Clients on it.
Now my Problem is Zerotier does not really work fast if it is behind 2NATs. This cannot be changed.
Because then there is no direct connection between both zero clients and then he will route over Zero Global server and this ist really really slow.
My problem is, I oppend all int Firewall and see no Blocks ind Firewall. But the Clients will not connect direct.
Has someone the same problem? An better an fix?

Greetings MArio

German - Deutsch / 2x opensense Zerotier VPN Exchange

« on: November 12, 2018, 02:22:10 pm »

Hi,

ich hoffe hier sind einige Pros die eine Idee haben.
Folgende Konstellation: Opensense auf VPS Server macht Zerotier VPN zu zweiter Opnsense an der ein Exchange hängt.
An der ersten Opnsense ist HA proxy aktiviert und leitet alles zur IP Adresse der Zerotier am zweiten Opnsense weiter. Dort habe ich ein NAT Regel die sagt alles vom Zerotier VPN soll an die IpAdresse das Exchange per https.
Teste ich das ganze per OWA ohne Outlook geht es super gut und habe keine Probleme.
Und jetzt kommt es aber, hole ich mir Outlook dazu kommt nach etwa 30 Minuten kein Client mehr zum Exchange durch egal ob owa oder Outlook und das verstehe ich nicht. Es sieht so aus als würde die 2 Opnsense den Sack zumachen, da ich per Owa die Meldung bekomme das dahinter kein Dienst mehr ist. Was aber Quatsch ist da der Exchange über seinen Ursprünglich Zugang noch geht.

Bin jetzt echt ratlos

Hat jemand eine Idee???

Das Schema:
Opensense VPS x.x.x.x/32 -> HA Proxy auf 192.168.198.100(Zerotier Endpunkt auf Opnsense 2 beim Exchange)

Gruß Mario

German - Deutsch / HaProxy SSL mehrere Server und Domains

« on: September 03, 2018, 12:21:23 am »

HI,

stehe etwas auf Schlauch. Habe folgendes Szenario, ich möchte hinter der opnsense mehrere Server mit SSL versorgen mit verschiedenen Domains.
Habe schön Brav die Realserver, Backend, ACL und Aktionen.
Bei den den öffentlichen Dienst habe ich jeden Server seine eigene Domain und Zertifikat zugeordnet.
Aber sobald ich alle aktiviere bekommt immer einer der Server das Falsche Zertifikat zugeordnet.
Und ich verstehe das einfach nicht.
Bei ACL habe ich Path starts with /* benutzt.
Hat jemand ein Idee?

Gruß Mario

18.7 Legacy Series / Virtual Interface

« on: August 30, 2018, 05:44:33 pm »

Hi,

i there a way to create an virtual interface the i can connect to lan?
I should feel like an real nic, but there should no connection on it.
No VLAN or something else. Opnsense should think it is an real nic.

Greetings Mario

18.7 Legacy Series / Zerotier error add new interface

« on: August 27, 2018, 11:55:03 pm »

HI,

i found this error.
If i connect a second zerotier tunnel und want connect them to an new interface.
He override my previous tunnel with the second zerotier tunnel. I can press + as often i will he change then only the Zerotier tunnel then.

Greetings Mario

Web Proxy Filtering and Caching / HAproxy Exchange asking external Ip show on Client behind.

« on: June 22, 2018, 03:53:07 pm »

HI,

ask the pro's among you.
I use the Open as HA Proxy with Lets encrypt to publish an Exchange.
Works great and never has problems.
On the Exchange, Cyperarms I used to have as a hedge against hacking accounts.
I would like to activate again, but this does not work because he only sees the IP address of opensense.
So the question to the professionals, one can set the HAproxy so that he passes on the IP requests from external to internal so Cyperarms can block the access again?

Greeting Mario

German - Deutsch / HAproxy Exchange anfragende Ip durchreichen

« on: June 21, 2018, 11:27:19 am »

HI,

frage an die Pro's unter euch.
Ich nutze die Open als HA Proxy mit Lets encrypt um einen Exchange zu veröffentlichen.
Funktioniert super gut und hat nie Probleme.
Auf dem Exchange läuft Cyperarms das hatte ich früher als Absicherung gegen hacking vom Konten.
Das möchte ich wieder aktivieren, was aber nicht läuft da er ja nur noch die Ip Adresse der opensense sieht.
So die frage an die Profis, kann man den HAproxy so einstellen das er die IP Anfragen von extern nach intern weitergibt um so Cyperarms wieder die Zugriffe sperren kann?

Gruß Mario

German - Deutsch / IpSec Site to Site

« on: January 25, 2017, 10:57:24 pm »

Hallo Miteinander,

ich teste gerade opnsense und probiere einiges aus.
Gerade bin ich ipSec Site to Site VPN.
Aber anscheinend bin ich zu doof, obwohl ich mich genau an die Anleitung halte.
Der Internetzugang erfolgt auf beiden Seiten per Fritzbox, opnsense hängt dahinter.
Exposed Host ist in der Fritzbox auf die Opnsense eingerichtet.
Wenn ich nun nach Anleitung von der Wiki Seite den Tunnel einrichte dann findet er die zweite Seite.
Aber er baut keine Verbindung auf, ich bekomme im Protokoll nur Fehlermeldungen die mir nix sagen.
Rechner hinter der Opnsense gehen ohne Probleme ins Internet.
Hier die Konfig:
Site A:Fritzbox 192.168.1.5
Opensense: WAN 192.168.1.202 LAN 192.168.2.250
Site B: Firtzbox 192.168.178.2
Opnsense: WAN 192.168.178.199 LAN 192.168.4.250
Die Phase sind auf beiden Seiten gleich.

Das kommt auf Site A
Jan 25 22:28:52   charon: 15[IKE] received AUTHENTICATION_FAILED notify error
Jan 25 22:28:52   charon: 15[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 25 22:28:52   charon: 15[NET] received packet: from xx.xxx.xxx.xx[4500] to 192.168.1.202[4500] (88 bytes)
Jan 25 22:28:52   charon: 15[NET] sending packet: from 192.168.1.202[4500] to xx.xxx.xxx.xx[4500] (912 bytes)
Jan 25 22:28:52   charon: 15[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
Jan 25 22:28:52   charon: 15[IKE] establishing CHILD_SA con1
Jan 25 22:28:52   charon: 15[IKE] establishing CHILD_SA con1
Jan 25 22:28:52   charon: 15[IKE] authentication of '192.168.1.202' (myself) with pre-shared key
Jan 25 22:28:52   charon: 15[IKE] remote host is behind NAT
Jan 25 22:28:52   charon: 15[IKE] local host is behind NAT, sending keep alives
Jan 25 22:28:52   charon: 15[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Jan 25 22:28:52   charon: 15[NET] received packet: from xx.xxx.xxx.xx[500] to 192.168.1.202[500] (332 bytes)
Jan 25 22:28:52   charon: 06[NET] sending packet: from 192.168.1.202[500] to xx.xxx.xxx.xx[500] (332 bytes)
Jan 25 22:28:52   charon: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jan 25 22:28:52   charon: 06[IKE] initiating IKE_SA con1[12] to xx.xxx.xxx.xx
Jan 25 22:28:52   charon: 06[IKE] initiating IKE_SA con1[12] to xx.xxx.xxx.xx
Jan 25 22:28:52   charon: 07[CFG] received stroke: initiate 'con1'
Jan 25 22:02:48   charon: 12[CFG] received stroke: route 'con1'
Jan 25 22:02:48   charon: 07[CFG] added configuration 'con1'
Jan 25 22:02:48   charon: 07[CFG] received stroke: add connection 'con1'
Jan 25 22:02:48   charon: 12[CFG] deleted connection 'con1'
Jan 25 22:02:48   charon: 12[CFG] received stroke: delete connection 'con1'
Jan 25 22:02:48   charon: 07[CFG] received stroke: unroute 'con1'
Jan 25 22:02:48   charon: 09[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 25 22:02:48   charon: 09[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 25 22:02:48   charon: 09[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 25 22:02:48   charon: 09[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 25 22:02:48   charon: 09[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 25 22:02:48   charon: 09[CFG] loaded IKE secret for xx.xxx.xxx.xx
Jan 25 22:02:48   charon: 09[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Jan 25 22:02:48   charon: 09[CFG] rereading secrets
Jan 25 22:01:41   charon: 14[CFG] received stroke: route 'con1'
Jan 25 22:01:41   charon: 09[CFG] added configuration 'con1'
Jan 25 22:01:41   charon: 09[CFG] received stroke: add connection 'con1'
Jan 25 22:01:41   charon: 14[CFG] deleted connection 'con1'
Jan 25 22:01:41   charon: 14[CFG] received stroke: delete connection 'con1'
Jan 25 22:01:41   charon: 09[CFG] received stroke: unroute 'con1'
Jan 25 22:01:41   charon: 14[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 25 22:01:41   charon: 14[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 25 22:01:41   charon: 14[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 25 22:01:41   charon: 14[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 25 22:01:41   charon: 14[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 25 22:01:41   charon: 14[CFG] loaded IKE secret for xx.xxx.xxx.xx
Jan 25 22:01:41   charon: 14[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Jan 25 22:01:41   charon: 14[CFG] rereading secrets

Und das auf Site B
Jan 25 22:28:52   charon: 11[NET] sending packet: from 192.168.178.199[4500] to xx.xxx.x.xxx[4500] (88 bytes)
Jan 25 22:28:52   charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 25 22:28:52   charon: 11[IKE] peer supports MOBIKE
Jan 25 22:28:52   charon: 11[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jan 25 22:28:52   charon: 11[CFG] no matching peer config found
Jan 25 22:28:52   charon: 11[CFG] looking for peer configs matching 192.168.178.199[87.139.223.73]...xx.xxx.x.xxx[192.168.1.202]
Jan 25 22:28:52   charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
Jan 25 22:28:52   charon: 11[NET] received packet: from xx.xxx.x.xxx[4500] to 192.168.178.199[4500] (912 bytes)
Jan 25 22:28:52   charon: 08[NET] sending packet: from 192.168.178.199[500] to xx.xxx.x.xxx[500] (332 bytes)
Jan 25 22:28:52   charon: 08[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Jan 25 22:28:52   charon: 08[IKE] remote host is behind NAT
Jan 25 22:28:52   charon: 08[IKE] local host is behind NAT, sending keep alives
Jan 25 22:28:52   charon: 08[IKE] xx.xxx.x.xxx is initiating an IKE_SA
Jan 25 22:28:52   charon: 08[IKE] xx.xxx.x.xxx is initiating an IKE_SA
Jan 25 22:28:52   charon: 08[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jan 25 22:28:52   charon: 08[NET] received packet: from xx.xxx.x.xxx[500] to 192.168.178.199[500] (332 bytes)

Wer kann mich erleuchten? Was mache ich falsch.
Danke für jeden Hinweis.

Gruß Mario

Pages: [1]