Topics

1

High availability / Change Backup to Master

« on: February 20, 2024, 11:28:24 am »

Hi,

after some problems we decide to switch of the master node.
Now we want to reuse it, but we did some chnages on rules etc. on the backup node while the master node was out.

How could I manage the situation?

Could I provide the backup node to master, after that I setup the old master to backup?

Or wat is the right way?

Thank You!

Gregor

2

German - Deutsch / OPNsense hängt bei 'configuring WAN interface'

« on: December 18, 2023, 07:06:59 pm »

Moin,

ich betreibe seit kurzem eine OPNsense als VM auf einem Proxmox VE.
Dem host hab ich eine Netzwerkarte eingebaut, diese wird über PCIe passthroug der OPNsense weitergereicht.

Über das Interface ist das Modem der Deutschen Glasfaser angebunden.

Den Aufbau habe ich gewählt, da über die ebenfalls verfügbaren FritzBox noch das Kabel von Vodafone genutzt wird.

So konnte ich die vor zwei Wochen geschaltete GF schon mal testen.
Die OPNsense bekam auch nach einer gewissen Wartezeit eine IPv4 zugewiesen. Der Vorgang dauerte schon recht lang.

Wir konnten etwa 2 wochen lang auch die OPNsense als GW nutzen, gestern Abend verlor die OPNsense ihre IPv4.
Auf der Shell kann ich die DHCP Requests nachvollziehen.

Starte ich die OPNsense neu, bleibt sie bei dem Punkt 'configuring WAN interface' hängen. Trenne ich das Netzwerkkabel, startet die VM durch.

Das ist jetzt auch erst mal mein eigentliches Problem. Kann ich das Hängenbleiben verhindern, ohne das Kabel zu trennen?

Grüße

Gregor

3

German - Deutsch / ACME - Einstellungen & Zertuifikate auf Slave übertragen

« on: December 08, 2022, 03:11:36 pm »

Moin,

ich habe bei der Master OPNSense per acme Plugin ein Zertifikat generiert.

Frage: Kann ich die Einstellungen und die Zertifikate auf den Slave/Backup übertragen?
Gerne auch per ssh.

Grüße

Gregor

4

High availability / HA: with one WAN address possible

« on: November 28, 2022, 04:23:00 pm »

Hi,

I wonder if HA is possible with one WAN IP address.
For normal knowledge the additional IPs for WAN are necessary for get access from the specified opnsense to the Internet/repositorys.

When it is possible, that the main opnsense is the repository for the slave there is no need for 've an IP address on both opnsense?
The advantage is, when you have less static IP adresses.

Is there an solution for that?

I know it from other firewalls as sophos UTM SG.

Bye

Gregor

5

German - Deutsch / wirdeguard - Erste Schritte & debuggin

« on: November 24, 2022, 01:55:56 pm »

Moin,

ich versuche an einem virtualisierten Setup auf Virtualbox Basis erste Erfahrung mit wireguard zu machen.

Ich habe zwei opnsense VMs erstellt:

siteA

WAN 10.0.64.61/24
LAN 10.5.64.1/24
Tunnel Address 10.11.0.1/24


siteB

WAN 10.0.64.63/24
LAN 10.6.64.1/24
Tunnel Address 10.11.0.2/24

Die VMs laufen im promiscuous Mode, für die WAN Schnittstelle.
Ich habe entsprechende Regeln für die WAN Schnitstelle erstellt:

ICMP, HTTPS (um von meinem Rechner aus dem WAN zu konfigurieren), 51820 (für Wireguard).
Außerdem hatte ich auch für einen IPSec Test die entsprechenden Ports freigegeben.

Die wireguard Einstellungen habe ich aus dem Wiki von Thomas Krenn übernommen.
Den lokalen Endpoint, den entferten Endpoint, Port, etc.

Wenn ich von meinem Rechner aus ein nmap -sU 10.0.64.63 -p 51820 bzw. nmap -sU 10.0.64.61 -p 51820 durchführe kann ich auf den beiden FWs sehen, das Verkehr passiert.

Beim Status der wireguard Verbindung wird mir flogendes angezeigt:

Code: [Select]

interface: wg1
  public key: SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
  private key: (hidden)
  listening port: 51820

peer: V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
  preshared key: (hidden)
  endpoint: 10.0.64.63:51820
  allowed ips: 10.6.64.0/21, 10.11.0.0/24

Handshakes
wg1 V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k= 0
Eingehenden Verkehr auf Port 51820 des jeweiligen WAN Interface habe ich nicht.

Wie debugge ich das jetzt am besten?
Kann ich von einer opnsense zur anderen auch ein nmap machen? Unter den debuggin Tools habe ich nichts gesehen.
Woran erkenn ich, ob eine wireguard Verbindung aufgebaut wurde?

Ach ja, mit IPSec hat die Verbindung recht reibungslos funktioniert, ICMP zwischen den opnsense funktioniert auch,...

Grüße

Gregor

6

German - Deutsch / [SOLVED] Upgrade 22.7 (installed) -> 22.7.7 - Alle Pakete aktuell?

« on: November 10, 2022, 04:09:18 pm »

Moin,

ich habe zum testen eine opnsense installiert.
Unter status wird mir 22.7 angezeigt.

Im changelog sehe ich, dass es auch Version 22.7.7 gibt, die plugins meckern auch das meine opnsens nicht aktuell ist.

Gehe ich jetzt aber auf check for updates werden die mirrors durchsucht und danach erhalte ich die Nachricht das keine aktuelleren Pakete auf dem Mirror vorhanden sind?

Ich habe auch schon mal versucht den mirror oder das Flavor zu wechseln, ohne Erfolg.
Wechsel ich von community zu development erhalte ich zu aktualisierende Pakete, also müsste es doch grundsätzlich funktionieren?

Grüße

Gregor

7

German - Deutsch / Benutzerbasierte Aliase

« on: July 26, 2019, 09:27:44 am »

Moin,

ich beschäftige mich mal wieder mit OPNsense.
Ist mit der OPNSense folgendes möglich, ich nenne das mal Kontobasierte Aliase:

openVPN Benutzer bekommen automatisch eine IP, Berechtigungen kann ich über den Kontonamen einrichten.
Das Feature kenne ich aus den watchguard Firewalls und empfand es immer als sehr komfortable.

Bei pfsense und OPNsense habe ich die Erinnerung, das ich relativ aufwendig einem Konto/Endgerät eine feste IP zuordnen muss, danach kann ich manuell ein Alias anlgen und diesen verwenden,...

Ist das bei eingehenden openVPN Verbindungen immer noch so aufwendig?

Grüße

Gregor