Topics

1

German - Deutsch / DHCP Failover in CARP Cluster unknown-state

« on: September 30, 2020, 06:56:58 pm »

Ich verzweifele gerade am DHCP failover. Wo kann ich den Fehler eingrenzen?

opnSense1

Code: [Select]

Interface
    <opt7>
      <if>vmx0_vlan22</if>
      <descr>GAST_LAN</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <ipaddr>192.168.32.4</ipaddr>
      <subnet>23</subnet>
    </opt7>
VIP
    <vip>
      <type>single</type>
      <subnet_bits>32</subnet_bits>
      <mode>carp</mode>
      <interface>opt7</interface>
      <descr>GAST LAN VID</descr>
      <subnet>192.168.32.1</subnet>
      <vhid>22</vhid>
      <advskew>0</advskew>
      <advbase>1</advbase>
      <password>password</password>
    </vip>
DHCP
    <opt7>
      <enable>1</enable>
      <failover_peerip>192.168.32.6</failover_peerip>
      <failover_split>128</failover_split>
      <gateway>192.168.32.1</gateway>
      <domain>gast.local</domain>
      <ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>
      <numberoptions>
        <item/>
      </numberoptions>
      <range>
        <from>192.168.32.50</from>
        <to>192.168.32.100</to>
      </range>
      <winsserver/>
      <dnsserver>192.168.32.1</dnsserver>
      <ntpserver/>
    </opt7>




Code: [Select]

2020-09-30T18:02:32 dhcpd[79397] failover peer dhcp_opt7: I move from startup to recover
2020-09-30T18:02:17 dhcpd[79397] Server starting service.
2020-09-30T18:02:17 dhcpd[79397] failover peer dhcp_opt7: I move from recover to startup
2020-09-30T18:02:17 dhcpd[79397] Sending on Socket/fallback/fallback-net

opnSense2

Code: [Select]

Interface
    <opt7>
      <if>vmx0_vlan22</if>
      <descr>GAST_LAN</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <ipaddr>192.168.32.6</ipaddr>
      <subnet>23</subnet>
    </opt7>
   
VIP
    <vip>
      <type>single</type>
      <subnet_bits>32</subnet_bits>
      <mode>carp</mode>
      <interface>opt7</interface>
      <descr>GAST LAN VID</descr>
      <subnet>192.168.32.1</subnet>
      <vhid>22</vhid>
      <advskew>100</advskew>
      <advbase>1</advbase>
      <password>password</password>
    </vip>

DHCP
    <opt7>
      <enable>1</enable>
      <failover_peerip>192.168.32.4</failover_peerip>
      <gateway>192.168.32.1</gateway>
      <domain>gast.local</domain>
      <ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>
      <numberoptions>
        <item/>
      </numberoptions>
      <range>
        <from>192.168.32.50</from>
        <to>192.168.32.100</to>
      </range>
      <winsserver/>
      <dnsserver>192.168.32.1</dnsserver>
      <ntpserver/>
    </opt7>



Code: [Select]

2020-09-30T18:02:41 dhcpd[84634] failover peer dhcp_opt7: I move from startup to recover
2020-09-30T18:02:26 dhcpd[84634] Server starting service.
2020-09-30T18:02:26 dhcpd[84634] failover peer dhcp_opt7: I move from recover to startup

jemand ne Idee ?

Ich hab in der dhcpd.conf was von Ports 519 und 520 gefunden und hab dann auf dem Interface? (oder muss es das Carp Interface sein?) mal tcp/udp erlaubt (da gehen laut inspect auch Pakete rüber)

Aber es ändert sich nix.

opnsense1 ist Master bei allen VIPs
GAST_LAN@22   192.168.32.1    MASTER
opnsense2 ist Backup
GAST_LAN@22   192.168.32.1    BACKUP

Wo kann ich noch suchen


EDIT:

Code: [Select]

2020-09-30T18:47:28 dhcpd[79397] DHCPREQUEST for 192.168.32.59 from b4:0b:e4:86:11:32 via vmx0_vlan22: not responding (recovering)
2020-09-30T18:47:23 dhcpd[79397] DHCPREQUEST for 192.168.32.58 from 00:08:29:e0:11:2a via vmx0_vlan22: not responding (recovering)
2020-09-30T18:47:22 dhcpd[79397] DHCPREQUEST for 192.168.32.56 from 00:08:29:66:11:a9 via vmx0_vlan22: not responding (recovering)
2020-09-30T18:47:22 dhcpd[79397] DHCPREQUEST for 192.168.32.57 from b4:0b:e4:40:11:06 via vmx0_vlan22: not responding (recovering)
2020-09-30T18:47:18 dhcpd[79397] DHCPREQUEST for 192.168.32.54 from b4:0b:e4:40:11:e0 via vmx0_vlan22: not responding (recovering)


2

German - Deutsch / [gelöst irgendwie]Postfix Logging und address_verify_relayhost

« on: September 29, 2020, 04:08:37 pm »

Moin,

sagt mal nutzt wer von euch das Postfix Plugin?

Das funktioniert soweit erstmal ganz prima, aber im Log steht nix und ich finde auch keine Log spezifischen Einstellungen.

Des Weiteren suche ich auch irgendwie vergeblich
address_verfiy_relayhost = ...
address_verify_map = btree ....
smtpd_recipient_restrictions = reject_unverified_reciepients (ist warscheinlich gesetzt)

Ich würde gerne die letzten lebenden Elemente unserer UTM loswerden und auch mit SMTP rein/raus auf die beiden opnSense umziehen.

Hat das jemand so im Einsatz das der Exchange auf Port 2525 die falschen rcpt rejected?
Exchange-Seitig sollte das eigentlich passen, da es ja mit der "nicht Test-Domain" über die Sophos klappt

EDIT: OK das mit dem Logging hat sich erledigt. System Settings: disable Circular Loggings ... btw .. geht auch unter 20.7.3 nicht

EDIT2: sehr spooky. Es geht genau wie gedacht. Aber ... ... erst seit dem das Logging sichtbar ist.
Die Testmails von heute Morgen sind einfach im Nirvana verschwunden.

3

German - Deutsch / Vodafone Business CARP mit einer statischen IP möglich?

« on: July 16, 2020, 08:57:53 pm »

So ich bin kurz davor den Bridgemode zu deaktiveren.
Hat jemand das hinbekommen?
Diese Vodafone Box ist echt merkwürdig. Hab auch irgendwo gelesen das trotz statischer IP die IP mit DHCP abgeholt werden MUSS.

Vorher hatte ich hier gelesen das man für die System Interfaces auch private IPs nutzen kann. Das hat auch so bedingt geklappt, die Box gibt trotz Bridgemode immer wenn kein Netz vorhanden ist per DHCP 192.168.100.x raus und hat selbst (immer) zusäzlich die .1

Wenn ich ohne VIP das so konfiguriere, dann funktioniert das auch solange die Box nicht Online geht auch, das ich wenigstens die Box mit 192.168.100.1 pingen kann. In dem Moment wenn die Box jedoch online geht ist überhaupt nix mehr möglich. Habe dann versucht die IP als VIP statisch zu zuordnen, beim Gateway war dann schon die Konfiguration komisch, da ich Far Gateway Haken setzen musste. Naja es funktionierte aber sowieso nicht.

Auch weiteres rumprobieren hat nur zu weiterer Frustration geführt.

Wenn nicht jemand ne echt tolle Idee hat, werde ich wohl oder übel auf den DoppelNAT wechseln.

PS:
Selbst die Nutzung von einem Interface über einen Switch mit DHCP ist sehr sehr merkwürdig. Da ich das Kabel im vSphere schlecht direkt reinstecken konnte (Konfig über VLANs) waren über den davor geschalteten Switch keine ordentliche Konfiguration per DHCP möglich. zumindest nicht Online.

Die privaten IPs 192.168.100.x hat er sowohl an eine als auch an zwei opnsense geliefert (natürlich auch nur einzeln getestet - anderes IF auf disabled oder auch per Konsole [down])
Sobald die Box nach Neustart aber wieder Online ist, ist keine Kommunikation mehr möglich. Vorher lies sich per telnet auch die Box Webseite abrufen.

Ich hab nachher einem USB Adapter an ein Laptop gehängt, dem die MAC von einer opnsense VM gegeben, direkt an die Vodafone Box gehängt, Public IP bekommen - zugriff auf Vodafone Box WebIF möglich - dann das Kabel wieder in den Switch und die opnsense zieht seit dem (auch nach Neustart) die IPv4 und IPv6 per DHCP.

Ist aber nicht wirklich so ausfallsicher wieder herzustellen wenn da mal was schief geht.

Daher wirds dann wohl DoppelNAT - scheint das kleinere Übel

4

German - Deutsch / kleine Fehler in 20.1.8 gefunden

« on: July 15, 2020, 06:04:30 pm »

Ich hab glaube zwei kleine Fehler in der 20.1.8 gefunden.

Bei einem CARP Setup sollte da nicht bei einer Rule WAN_address NUR die eigentliche Interface IP nutzen und nicht die CARP IFs? Wenn ich statt dessen Single Adress und nur die IP reinschreibe funktioniert es und der Service ist nicht auf dem CARP IF erreichbar. In diesem Fall mit SSH getestet welches nur über die echte WAN IP erreichbar sein sollte.

2. Fehler @mimugmail wenn ich maltrail auf der Slave Firewall nur als Sensor konfiguriere und den Haken bei Server nicht setze dann startet der Dienst nicht (oder zumindest zeigt er immer den roten Pfeil). Aktiviere ich zusätzlich (trotz remote logging) den Haken beim Server funktioniert es.

- sorry müsste eigentlich auf github, bin aber echt knapp mit der Zeit

5

German - Deutsch / [gelöst] CARP auf vSphere Distributed Switch Backup - Backup

« on: July 11, 2020, 10:39:27 pm »

Moin,

ich hab mein erstes CARP Cluster aufgesetzt und hab ein Problem mit dam VIP.

Ich hatte zuerst auf beiden OPNs beim CARP im Dashboard MASTER stehen (CARP IP erreichbar - keine DUPs)
Dann habe ich im Distributed Switch den Promiscous Mode/Mac change/Forge transmits erlaubt
Danach wechselte die Anzeige bei beiden OPN auf BACKUP (CARP IP weiter erreichbar - keine DUPs)

Im NetFate Forum hatte ich dann was von "Net.ReversePathFwdCheckPromisc" gefunden, dass habe ich dann auch auf allen ESX Hosts auf 1 gesetzt und Promiscous wie dort beschrieben aus und wieder an gemacht - hat aber auch nix gebracht.

Es scheint jetzt aber (laut Logfile) im 3 Sekunden Takt zwischen Master und Backup zu wechseln.

Was kann ich machen um das Problem zu finden.

Switche zwischen den ESX Hosts sind FS.COM S8050 mit je 4 x 40Gbit an jedem ESX Host

EDIT: wenn ich auf einem OPN das CARP deaktiviere scheint sich der andere Trotzdem nicht vom Backup zu lösen.

6

German - Deutsch / BIND DNSBL Problem

« on: September 05, 2018, 12:02:29 pm »

Moin,

ich bekomme irgendwie die Blacklist nicht ans laufen.
Ich weiß aber auch nicht wo ich den Fehler weiter suchen soll

Code: [Select]

root@sense:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zyiis.net
*.zyiis.net CNAME .
zyiis.net CNAME .
root@sense:~ # sockstat -4 -l | grep named
bind     named      58031 22 tcp4   127.0.0.1:53530       *:*
bind     named      58031 23 tcp4   127.0.0.1:9530        *:*
bind     named      58031 513 udp4  127.0.0.1:53530       *:*


Code: [Select]

root@sense:~ # drill -p 53530 zyiis.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 18212
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zyiis.com.   IN      A

;; ANSWER SECTION:
zyiis.com.      184     IN      A       121.199.15.128

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 127.0.0.1
;; WHEN: Wed Sep  5 11:59:20 2018
;; MSG SIZE  rcvd: 43


Code: [Select]

root@sense:~ # tail -n 1 /var/log/named/query.log
05-Sep-2018 11:59:20.204 client @0x2f8f8f57000 127.0.0.1#50510 (zyiis.com): query: zyiis.com IN A + (127.0.0.1)

Das sollte doch sicher irgendwie anders aussehen.
Als Forwarder habe ich 127.0.0.1 unbound drin.

Warum nimmt er die Blacklist nicht?

Code: [Select]

05-Sep-2018 11:04:57.102 zoneload: info: managed-keys-zone: loaded serial 0
05-Sep-2018 11:04:57.109 zoneload: info: zone 127.in-addr.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.111 zoneload: info: zone whitelist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.112 zoneload: info: zone 0.ip6.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.296 zoneload: info: zone localhost/IN: loaded serial 42
05-Sep-2018 11:04:57.483 zoneload: info: zone blacklist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.483 general: notice: all zones loaded
05-Sep-2018 11:04:57.485 general: notice: running
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: reload start
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: using hashtable size 2
05-Sep-2018 11:04:57.485 general: info: rpz: blacklist.localdomain: reload start
05-Sep-2018 11:04:57.486 general: info: rpz: blacklist.localdomain: using hashtable size 14
05-Sep-2018 11:04:57.486 general: info: rpz: whitelist.localdomain: reload done
05-Sep-2018 11:04:57.640 general: info: rpz: blacklist.localdomain: reload done
05-Sep-2018 11:05:00.724 resolver: info: resolver priming query complete
05-Sep-2018 11:52:24.156 resolver: info: resolver priming query complete
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:500:9f::42#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:c27::2:30#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:ba3e::2:30#53


EDIT: oja und ein (Bug) ist mir noch aufgefallen, in der WebuUI bei ACL sollte LOCALNETS verhindert werden, da es wohl schon intern verwendet wird und falls man das da auch einträgt startet named nicht.

7

17.7 Legacy Series / [SOLVED] REGRESSION! 17.7.7 Aliases fields moved

« on: October 26, 2017, 04:17:20 pm »

The fields in the Aliases section moved, the real value is not visible and the description field is where the value should be.

Not restartet yet (don't want to loose access if something is really somewhere wrong)

8

17.7 Legacy Series / Docs about Disable force gateway

« on: October 26, 2017, 10:46:41 am »

Are there any threads or issues to look into for information about
Firewall -> Settings -> Advanced: Disable force gateway ?
Disable automatic rules which force local services to use the assigned interface gateway.

can this resolve the problems using tcp_outgoing_address with squid?

9

17.7 Legacy Series / No OpenVPN in Netflow capture

« on: September 27, 2017, 01:28:31 pm »

No traffic ist shown for openVPN connections.
similiar setup then in this issue https://github.com/opnsense/core/issues/967

The openVPN interfaces dont show up under Netflow -> cache

10

Development and Code Review / Freeradius EAP-TLS

« on: September 24, 2017, 11:25:31 am »

I would like to implement eap-tls in the freeradius plugin, is there already someone working on that?
Who is the maintainer of the current plugin?

I'm quite new to opnsense but i think i found the starting point in the templates, volt templates and the xml.

Maybe we could discuss a way to use additional virtual servers for other radius methods. EAP-TTLS and EAP-PEAP

I thought about selecting virtual servers per client.

11

17.7 Legacy Series / Suricata on LAGG/VLAN/OpenVPN Setup

« on: September 24, 2017, 11:05:07 am »

I have a setup with 2 Realtek NICs that are bundled to lagg0 and used with VLANs for all traffic WAN and several internal VLANs. Additionally i route my traffic over an AIRVPN gateway group.

I would like suricata blocking bad traffic.

IPS seems to be not supported, i used pfsense before with that

lazy block list

 https://forum.opnsense.org/index.php?topic=3792.msg13316#msg13316

Is this possible to implement on opnsense.

I  tried with all kind of setups for the interface WAN/VPN but also the lagg interface, with or without promiscous mode. But i can only get a few stream rules show up in the alert tab even if trigger the rules with bad traffic.

Its only for a home use, so power consumption is a high priority. Using bigger hardware with intel nics is not a solution.

12

German - Deutsch / komplexe Bridge und NAT Firewall

« on: September 14, 2017, 09:01:10 am »

Moin zusammen,

erstmal besten Dank für den tollen Fork ;-)

Ich habe gerade vor die Firewall für mein Heimnetzwerk neu zu planen.
Es gibt recht viele interne Netze, die ich voneinander trennen möchte, die aber nicht gerouted werden sollen da es sonst mit IGMP und diversen anderen Dingen zu Problemen kommen kann.

Ich habe daher die unterschiedlichen Netze  auf unterschiedliche Netzwerkkarten verteilt (derzeit zum Test in der VM später über VLANs) und auf eine Bridge gelegt. Die Bridge hat dann als einziges die IP bekommen und den DHCP Server.
NAT ist auf manuel,
net.link.bridge.pfil_bridge und net.link.bridge.pfil_member stehen beide auf 1
Da ich ja den Filter zwischen den Netzen auf den Memberinterfaces mache und alles was ins Internet geht auf dem Bridge Interface machen muss.

Das funktioniert soweit auch alles ganz prima.

Jetzt aber das Problem.
Ich kann Pakete der Memberinterface nicht blockieren/taggen was auch immer, wenn sie ins Internet gehen sollen.

Ich geb mal ein kurzes Beispiel
[SERVER]  ->
[USER]      ->  [BRIDGE1]    -> [WAN]
[KINDER]   ->

Ich möchte jetzt gerne den Zugriff der Kinder ausgehend begrenzen, aber alle filter auf dem Interface Kinder schlagen nicht an. Wie komme ich da ran?
Das über IPs zu lösen macht ja keinen Sinn, dann brauche ich auch kein extra VLAN dafür
wäre das eine pass out Regel?

13

17.7 Legacy Series / Alias for ASN from whois

« on: September 14, 2017, 08:42:43 am »

Could we implement to fetch Aiases for ASN from whois?

Id like to use this to block facebook but it could also be used to force for example Youtube or Netflix over VPN.

I made a small python script (which I currently use manually to get the IPs)

Code: [Select]

import socket
import re

## https://tools.ietf.org/html/rfc3912
def whois_request(domain, server, port=43):
    _sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    _sock.connect((server, port))
    _sock.send("%s\r\n" % domain)
    _result = ""
    while True:
        _data = _sock.recv(1024)
        if not _data:
            break
        _result += _data
    return _result

def get_AS(AS,IPV4=True,IPV6=True):
    ## sanitize ASN
    _asn = re.search("(?:AS)?(\d{1,10})",AS,re.IGNORECASE)
    if not _asn:
        return ""
    _asn = "AS{0}".format(_asn.group(1))
    is6 = ""
    if IPV6:
        is6 = "[6]?" if IPV4 else "6"
    _raw = whois_request("-i origin {0}".format(_asn),"whois.radb.net")
    if _raw:
        _ips= re.findall("^route{0}:\s+(.*?)$".format(is6),_raw,re.MULTILINE)
        return "\n".join(_ips)
    return ""

if __name__ == "__main__":
    import sys
    AS="AS32934"
    if len(sys.argv) > 1:
        AS=sys.argv[1]
    print get_AS(AS,IPV6=False)