Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - Perun

Pages: [1] 2 3

General Discussion / crowdsec & DNSBL

« on: November 18, 2024, 07:29:32 am »

Hi All,

Does crowdsec also replace the DNSBL of Unbound or the lists from Firehol & co? Or are these more complementary things?

TiA

General Discussion / NAT64 with Tayga

« on: October 04, 2024, 09:55:12 am »

Hi All,

After configuring IPv6, a RedHat program started behaving strangely (long waiting for a timout). I checked it with strace and found that it was trying to reach the address: 64:ff9b::d184:b210. I identified this as a NAT64 address of a Red Hat host. When I opened a ticket with Red Hat, they told me that the program does not support IPv6 and asked if I had configured NAT64/DNS64. I had not. Now I am trying it with Tayga, but something is not working.

The first question is, I use both ipv4 and ipv6 in my LAN. Do I need to configure NAT64? I read that you only need NAT64 if you have at least an IPv6-only network.
If that’s the case, is Red Hat doing something wrong, or is it my router configuration that’s messed up?

Second:
This is my Tayga Configuration:
IPv4 Address 192.168.254.3 (not used somwhere else)
IPv4 NAT64 Interface Address 192.168.253.1 (not used somwhere else)
IPv6 Address fd00:14::1
IPv6 NAT64 Interface Address 2a02:XXXX:XX:XX00:0::1 (I've got the prefix from my ISP: 2a02:XXXX:XX:XX/56)
IPv6 Prefix 64:ff9b::/96
IPv4 Pool 192.168.254.0/24
Custom IPv6 Routing not checked

(NAT, Normalization and FW Rule for Tayga Iface are configured)

Problem:
# traceroute6 64:ff9b::d184:b210
traceroute6 to 64:ff9b::d184:b210 (64:ff9b::d184:b210) from 2a02:XXXX:XX:XX00::1, 64 hops max, 28 byte packets
1 fd00:14::1 0.124 ms 0.103 ms 0.191 ms

# ping6 64:ff9b::d184:b210
PING(56=40+8+8 bytes) 2a02:XXXX:XX:XX00::1 --> 64:ff9b::d184:b210
--- 64:ff9b::d184:b210 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss

What I'm doing wrong?

TiA
Greetz

General Discussion / IPv6 with static prefix behind a router (FritzBox)

« on: September 25, 2024, 05:25:51 pm »

Hi all,

I have received a static IPv4 and a static IPv6 prefix from my internet provider. IPv4 is clear so far. I have a few questions about IPv6.

My setup:
ISP -> Fritzbox -> OPNsense -> LAN
Fritzbox and OPNsense are together in a DMZ (IPv4). The Fritzbox forwards everything to OPNsense (exposed host).

Is such a setup also possible with IPv6? I tried to create a /64 IPv6 DMZ network with the prefix from the ISP. OPNsense has an IPv6 address there, and I specified the fe80:: address of the Fritzbox as the gateway. I would prefer to avoid RA/DHCPv6 etc. and have everything static. Unfortunately, with this setup, I can only ping the fe80:: address of the Fritzbox from OPNsense but nothing in internet.
Am I thinking something wrong? I have some knowledge of IPv6, but I lack experience

Can someone help or recommend a how-to?

TiA
Greetz

German - Deutsch / Wireguard unverständliches Problem... (für mich)

« on: June 17, 2024, 08:04:38 pm »

Hallo,

ich habe 2 WG Verbindungen (Mullvad) in verschiedene Länder. Dies funktioniert soweit für einzelne Hosts aus meinem LAN (getestet).

Was ich seltsam finde, wenn ich sowas wie "curl --interface wg1 $url" oder "curl --interface $mullvad_iface_ip $url" an der Konsole ausführe greift er immer mit meiner "normalen" public IP und nicht mit der IP aus dem jeweiligem Ende des WG Tunnels...
Wieso? Was könnte mir da fehlen?

Es gibt je eine FW Rule für alle nicht private IP Hosts als Ziel auf jeweiligem Mullvad Interface mit GW über das Mullvad Interface und je eine NAT Rule die alles am Mullvad Iface auf die Iface Adresse NATed. Wie gesagt Hosts aus dem LAN funktionieren mit so einer Rule aber wieso nicht die IP's die direkt am wgX Interface hängen?

Auf Anfrage kann ich auch mehr Infos liefern...

Vielen Dank für eure Antworten im Voraus!

High availability / Wireguard + CARP

« on: April 07, 2023, 02:57:16 pm »

Hi

I've a problem with CARP and Wireguard. If my fallback opnsense runs (CARP Backup) then seems that Wireguard lost some UDP datagramms. If I turn it off, then it works ok.
It seems the lose of the datagramms depends on the keepalive interval.
Does someone know such a problem?

Greetz

23.1 Legacy Series / Problems with CARP - bug?

« on: February 01, 2023, 06:50:41 pm »

Hi

I have problems since 23.x with one CARP interface. I've 4 of them and one starts on the fallback opnsense initiali in BACKUP status and then after 4-5s it changes to MASTER (with active master on the primary opnsense).
3 other CARP interfaces doesnt have this problem.

I dont have changed the configuration, only update from last 22.x to 22.1 and after this to 22.1_6
It is a known bug?

Greetz

German - Deutsch / Synology Webmail (Mail Plus Client) + HAproxy

« on: October 04, 2021, 10:41:06 am »

Hi,

hat jemand die obige Konfiguration am laufen? Irgendwie will es hier nicht... Andere Dienste von der Syno (z.B. nextcloud über webstation) kein Problem. Bei dem Mail Plus Client bekomme ich so eine Seite angezeigt wenn ich es von außen anspreche:

<!DOCTYPE html>
<html>
<script type="text/javascript">
var uri = location.pathname + location.search + location.hash;
var URL = 'https://' + location.hostname + '' + uri;
location.replace(URL);
</script>
</html>

ich denke da ist was mit JS was nicht richtig interpretiert wird... HAt jemand sowas am laufen und kann helfen? Configauszug reicht

Vielen Dank im Voraus!
Greetz

German - Deutsch / MultiWAN und IPv6

« on: February 20, 2021, 03:02:46 pm »

Hallo

ich muss aus bestimmten Gründen beide Borderrouter die mit den IPS's verbunden sind in ein gleiches VLAN packen. Bei 2 verschiedenen VLANs war es kein Problem IPv6 von beiden ISP's zu den 2 Interfaces via DHCPv6 zugewiesen zu bekommen.
Jetzt aber soll ich 1 Interface haben, was dann mit beiden Borderroutern kommunizieren soll. IPv4 Gatewaytechnisch scheint es bei Opnsense kein Problem sein.
Aber was ist mit IPv6? Wie kann die gleiche Schnittstelle 2x DHCP IPv6 Adresse bekommen... Geht es?
Oder muss ich eine Art Alias IP einrichten und die getrennt behandeln?

Hat jemand schon mal sowas gemacht und kann ein bisschen Licht ins Dunkel bringen?

Greetz

19.1 Legacy Series / HAproxy bug

« on: July 11, 2019, 08:09:48 am »

Hi all

HAproxy seems to have a bug in the last version of opnsense (OPNsense 19.1.10-amd64)
It hangs if it is running longer than 12-24h...

It answers the connection (check with telnet) but it sends no data. I havent found the error in log yet...

It is not possible to restart it with service command, I need to kill -9 the pid and then I can start it with service.

Greetz

19.7 Legacy Series / Feature Request: eap-mschapv2 for IPsec

« on: June 17, 2019, 12:08:19 pm »

Hi

it would be nice to have the possibility to build config as IPsec client with:

eap_identity = "myusername"
leftauth = eap-mschapv2
rightauth = pubkey
rightca = "cacert"

NordVPN uses someting like that...

TiA
Greetz

19.1 Legacy Series / own NAT/FW rules

« on: June 13, 2019, 08:47:41 am »

Hi

it is possible to define own NAT/FW Rules? I have configured a IPsec connectiion to my VPN Provider outside the WebUI (becaues of ms-eap auth) and this creates an interface tun0. I dont 'see' this interface in the WebUI but need some NAT/FW Rules for it.
Is there somewhere a file/dir where I can define own rules?

Greetz

German - Deutsch / IPSec zu VPN Provider... wo NAT?

« on: June 07, 2019, 08:59:44 am »

Hi

ich habe eine Verbindung zu einem VPN Provider außerhalb de WebUI konfiguriert. Da der VPN Provider eap-mschapv2 als Auth benutzt, sah ich keine Möglichkeit dies über die WebUI machen zu können... (vielleicht hat jemand einen Tip wie man es doch machen kann?)

Die Verbindung steht und hat auch ein Interface tun0 erstellt.
Jaaa aber wie gehst weiter?
Normalerweise würde ich jetzt einen Gateway erstellen und dann entsprechende Rules und NAT
Aber das Interface taugt natürlich nirgendwo in der WebUI auf...

Wie macht man sowas dann? Bzw. was wäre der richtige Weg für sowas?

Meine IPsec Config liegt in /usr/local/etc/ipsec.opnsense.d/my.conf

Code: [Select]

conn con10
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  eap_identity = "mangel@gmx.de"
  leftauth = eap-mschapv2
  left = %defaultroute
  leftsourceip = %config
  forceencaps = yes
  right = pl82.nordvpn.com
  rightauth = pubkey
  rightsubnet = 54.204.25.0/28,23.23.189.144/28,34.195.253.0/25
  rightid = pl82.nordvpn.com
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"
  type=tunnel
  auto=start

(ja ich weiß NordVPN geht über OpenVPN, ich will es aber über IPsec versuchen)

Kann jemand helfen?

General Discussion / own config for strongswan (not gui managed)

« on: June 06, 2019, 09:26:12 am »

Hi

it is ok to put own config for ipsec at /usr/local/etc/ipsec.opnsense.d/my.conf ?
(I cant set it up with WebUI)

Greetz

General Discussion / NordVPN and ipsec config

« on: May 31, 2019, 11:11:13 am »

Hi

it is possible to setup NordVPN with ipsec on opnsense via WebUI?

The recommended settings are:

conn NordVPN
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
eap_identity="USERNAME"
leftauth=eap-mschapv2
left=%defaultroute
leftsourceip=%config
right=SERVER
rightauth=pubkey
rightsubnet=0.0.0.0/0
rightid=%SERVER
rightca=/etc/ipsec.d/cacerts/NordVPN.pem
type=tunnel
auto=add

https://nordvpn.com/de/tutorials/linux/ikev2ipsec/

If it isnt possible over WebUI, where should I put the config?

(I know NordVPN works with OpenVPN but dont want OpenVPN)

TiA
Greetz

19.1 Legacy Series / NAT on iface group

« on: February 21, 2019, 12:01:28 pm »

Hi All!

I have created a 'extern' interface group with 2 WAN interfaces (have cable and vdsl).
And now if I set a NAT port forward rule to this extern interface, it works only on cable WAN and not on vdsl WAN...

It is a bug?

Greetz

Pages: [1] 2 3