Topics

1

19.1 Legacy Series / IPSec DPD action not configurable (fixed setting is clear)

« on: February 15, 2019, 08:57:47 am »

In 19.1 also the IPSec DPD action is not configurable, which can resists in stalled IPSec tunnel.
We are using opnsense with about 16 IPsec Site-to-Site tunnel, but the dpdaction is a fixed setting to clear. That means if the tunnel fails, it will not be restarted. Why it is not possible to set this fixed to "restart" and or to set this via GUI?

Best regards

Joerg

2

Tutorials and FAQs / HowTo connect OPNSense with Amazon VPC via VPN Service

« on: August 07, 2017, 09:47:47 pm »

This guide describes how to connect an AWS VPC using AWS VPN Services. You can also use your own EC2 instance as a gateway, but this is the unsightly variant because you have to tinker and experiment with. The AWS VPC method is otherwise redundant, so you have to create 2 IPSec tunnels.

Preparation:

Take care of network addresses, they must not collide.

Example:
Office Networks:
LAN: 192.168.1.0/24
WLAN: 192.168.2.0/24
DMZ: 192.168.3.0/24

VPC Network:
172.31.0.0/16 (this is usually standard)

You can see all networks are unique. Should it collide, then you have to bite into the acid apple and adjust your network addresses. One could set up a network NAT on the OPNSense, but the other side would not be able to handle it. The AWS VPN is based on a Cisco and they have several Inspect Rules active and because it failed with the NAT.

Our requirements:

Only the network 192.168.1.0/24 may have access to servers and services at AWS.


Setup AWS VPN:

1. Log in to the AWS Dashboard and change to the VPC view
2. Set up the Customer Gateway (name is something and has little meaning, routing is static, IP Address is your Public IP of the OPNSense)
3. Set up the virtual private gateway (name is something and has not much meaning)
4. The most important point to set up VPN Connection
Name, as at 2 and 3

VPG is the identifier of the Virtual Private Gateway
Customer Gateway, click on existing and select the gateway identifier
Routing option again Static and then 192.168.1.0/24 (if you want to route several local networks, then separate with a comma)

The setup can take up to 5 minutes, since now everything is done in the background on the Cisco's. Two tunnels are set up. Once the setup is complete, select the VPN Connection and click Download Configuration at the top. Please select and download pfSense here. You need this file later for OPNSense.

5: The most important point. Turn left to Route Tables, and then select your VPC. Then go down on route propagation. The standard for Propagate is no. Change it to yes. Time for a cup of coffee, since propagation can take 1-5 minutes.


VPN setup on the OPNSense:

The configuration of OPNSense is very easy if you use the downloaded Configuration Sheet from AWS. Go ahead with this sheet as described. If you have more than one network to route, you have to add the number of phase 2 entries equals to the count of networks.

3

German - Deutsch / [SOLVED] Brauche Hilfe für einen Outside Proxy

« on: July 25, 2017, 08:49:43 am »

Hi Folks,

bis jetzt bin ich noch zu keiner Lösung gekommen, aber vielleicht kann mir von euch jemand helfen.

Szenario:
Von bestimmten Outside IPs wird eine Verbindung zum Router mittels HTTPS aufgebaut. Diese sollen über einen Proxy an eine andere Domain geproxied werden, abhängig von der URI.

Beispiel:
Router = xyz.domainA.com
Anfrage an https://xyz.domainA.com/bla1 soll an https://server.domainB.com/bla1/irgendwas.pl
Anfrage an https://xyz.domainA.com/bla2 soll an https://server.domainC.com/bla2/irgendwasanderes.pl
und vier weitere.

Na klar könnte ich einen Server ins Büro stellen, aber wir wollen ja den letzten Server abschalten, da wir nur noch Cloud Services benutzen. Allerdings brauche ich irgendwas wo ich die o.a. Anfragen über einen Proxy wieder weiterleiten kann.
Ich bin mir noch nicht ganz sicher, wäre der Relayd Proxy das Tool der Wahl?

Viele Grüße

Jörg

4

German - Deutsch / Geht das mit mit OPNsense

« on: February 02, 2017, 04:18:06 pm »

Hi zusammen,

bin gerade dabei unsere ach so tollen Astaro ASG-220 Firewalls aus dem Fenster zu werfen. Nicht ganz, da es Standard x86-64 Hardware ist, kommt auf beide nach und nach OPNsense.

Die erste Appliance habe ich nach erstem Studium der Doku bereits mit OPNsense ausgestattet. Ich habe mal aber zwei Anfängerfragen, ob das überhaupt so geht, wie ich mir das vorstelle.

1. IPSec Net->Net und RoadWarrier
Ich benötige 4 IPSec Tunnel (Net->Net) um 4 Standorte anzubinden. Dass das geht weiß ich und ist Standard. Was erschwerend dazu kommt, ich muss gleichzeitig ca. 30 RoadWarrier anbinden. Ich hoffe OPNsense lässt einen Mischbetrieb zu (also Net->Net und Roadwarrier), es gibt etliche wie z.B. IPFire/IPCop bei denen es nicht funktioniert.

2. Carp
Hat eigentlich schon jemand mal CARP auf der WAN Seite mit einem VDSL Anschluß (Modem vorhanden) und nur einer Public IP versucht?
Was ich so in der Doku lese, benötige ich 3 Public IPs. Die bekomme ich aber von unserem regionalen Provider nicht.

Viele Grüße

Jörg