OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of c-mu »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - c-mu

Pages: [1] 2 3
1
German - Deutsch / Disable preempt Klärungsfrage
« on: August 02, 2020, 09:08:25 pm »
Hallo Community,
ich bin zur späten Stunde nicht mehr ganz sicher: Wenn mein Master (FW1) einen Fehler hat, sich rebootet, was auch immer, möchte ich, dass der Slave (FW2) die Dienste übernimmt und behält - FW1 soll also zukünftig die Slave funtkion inne halten. Um z.B. auch floppy states an Interfaces zu umgehen.

Es gibt dazu ja die Option:
Quote
When this device is configured as CARP master it will try to switch to master when powering up, this option will keep this one slave if there already is a master on the network. A reboot is required to take effect.

Wenn ich das jetzt richtig interpretiere und die Option ist aktiv: FW1 (Master) wird nicht versuchen nach dem Reboot die CARP Master Rolle einzunehmen, richtig?

Muss das dann eigentlich auch auf dem Slave (FW2) aktiviert sein, oder ist das irrelevant weil FW1 einen höherwertiges Base Skew hat?

Dankeschön!

2
20.7 Production Series / I don't find the 20.7 Update?!
« on: July 31, 2020, 07:49:09 am »
Hi,
if I check my several boxes for the newest Upgrade, I don't find it. All my boxes are on 20.1.9. Do I miss something? Even if I manually change some german mirrors, it wont be served.

Thank you a  lot.

3
German - Deutsch / OpenVPN - mutliple dns search
« on: July 01, 2020, 08:53:56 am »
Hallo,
ich habe das Dilemma, dass wir intern wie extern die gleichen Domainnamen verwenden. Ich möchte meinen OVPN Clients nun mitteilen, dass die für ein paar Domains meinen internen DNS Server zu fragen haben.

Ich bin dabei auf diese Option gestoßen:
Code: [Select]
push "dhcp-option DOMAIN-SEARCH mc.company.com"
push "dhcp-option DOMAIN-SEARCH ads.company.com"
push "dhcp-option DOMAIN-SEARCH test.company.com"
das Vertsehen aber die Windows Clients nicht:
Code: [Select]
Options error: --dhcp-option: unknown option type 'domain-search' or missing or unknow parameter
OSX Clients wie Tunnelblick und Viscosity wiederum können damit was anfangen.

Da ich aber 90% Windows Clienten (OpenVPN Gui) habe, habe ich mir vorerst mit:
Quote
push "block-outside-dns"

beholfen. Das wiederum können die OSX Clients nicht verstehen.:

Code: [Select]
Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:9: block-outside-dns (2.4.8)
Mit Block Outside DNS kann ich temporär als workaround aber leben - hat nur den Nachteil, das sämtliche DNS Abfreagen durch das VPN geschleust werden und damit ggf. lokale Namesauflösungen für Drucker oder so nicht mehr funktionieren.

Wie löst ihr das problem mit mehreren Domains?
Danke!

4
German - Deutsch / HASetup: Wenn Master Rebootet gibt es stress
« on: June 16, 2020, 01:48:32 pm »
Hallo!
Ich habe ein Problem mit meinem HA Setup.
Wenn ich meinen Master beispielsweise für Update neustarten muss, dann übernimmt der Slave wunderbar seine Dienste. Ist der Master wieder online, fangen die Probleme an. Packet Loss ohne Ende, Master IP teilweise nicht erreichbar. CARP macht ein "Mischmasch", sprich einige VIP's sind auf dem Master "master", und einige auf dem Slave.

Ich habe jetzt zwar einen Workaround gefunden, der aber nicht schön ist, aber vielleicht gibt es jemanden von euch die ausschlaggebene Idee: Ich muss am Switch das Uplinkkabel zum Master einmal ziehen bzw per CLI den Port deakivieren und anschließend wieder online bringen. Dann fängt sich das ganze system nach 2-3 Minuten wieder und es läuft wie es soll.

Es ist ein HP ProCurve switch, auf den Ports selber ist nichts besonderes aktiv, kein LACP oder ähnliches.

Hat jemand vielleicht eine Idee, was das sein kann? Irgendein Protokoll an das ich nicht denke? ARP Cache vllt?
Master & Slave arbeiten auf der zur Zeit aktuellen Version. Das Problem schleppe ich auch schon viele Versionenlang mit mir mit, was natürlich jedesmal für graue Haare sorgt, wenn ich die Firewall aktualisieren muss.

Bin für jeden Tipp Dankbar!

5
20.1 Legacy Series / own crontab edit version upgrade persistent?
« on: June 09, 2020, 11:23:55 am »
Hi!
I want to backup my config.xml via scp cmd and cronjob.

If i edit the crobjobs via crontab -e, is that persistent over systemupgrades?

thank you!

6
German - Deutsch / HA Setup -Enter Persistent CARP Maintenanc funktionierte nicht, massive Probleme
« on: April 15, 2020, 11:16:15 am »
Hallo Community!

Ich hatte gestern ein unerfreuliches Update verhalten. Vor einigen Tagen habe ich bereits meinen Slave und sämtliche Remote Standorte auf 20.1.4 geupdatet - alles ohne Probleme.

Nun wollte ich meinen Master Updaten und versuchte ihn in den Persistent CARP Maintenance Mode zu schicken.
Ich habe auch gesehen, dass der Master auch nicht mehr CARP demotion 0, sondern 240 hatte, aber alle Verbindungen blieben auf dem Master.

Ich habe mir dabei dann erstmal nicht weiter gedacht, mich nur gewundert. Update also gestartet. Master macht seinen Reboot, Slave übernimmt endlich die Dienste (tadellos) und sobald der Master wieder online war, gingen die Probleme los. Ich bekam plötzlich paket loss ohne ende, hatte Schwierigkeiten den Master via SSH oder WebUI zu erreichen. Ich nehme an, dass jetzt beide Master spielen wollten und sich nicht einigen konnten. Da ich kaum noch dazu in der Lage war, irgendwelche Aktivitäten zu tun, beschloss ich den Master wieder runterzufahren. Dabei hatte ich wieder Zugriff auf den Slave aber das bekam von den Clients keine Internet Verb. das default Gateway (Eine CARP VIP) war nicht ansprechbar.

Ende vom Lied war, dass ich mehrfach in abwechselnder Richtung beide FW gebootet habe, bis endlich der Master wieder master war und der Slave slave.

Ich weiß echt nicht was hier schief gelaufen ist. Es existiert auf jedem Interface, das CARP nutzt, eine Regel alá

Proto: CARP
Source: INTERFACE-NET
Destination: 'This Firewall'

CARP Selbst scheint mir richtig eingestellt zu sein. Jedes CARP Interface hat eine eigene  VHID Group (auf dem Slave die gleiche) und der Master hat jeweils  Advertising Frequency Base1 Skew 0, der Slave hat Base 1 Skew 100.

Die Config und States wird über ein eigenes, physicalisches Interface per 1zu1 direkt Verbindung gesynct.

Hat jemand vielleicht eine Vermutung, was passiert sein könnte? Mich interessiert insbesondere, warum der erste Step schon nicht geklappt hat (Enter persistent CARP...).

Vielen Dank für jeden Tipp den ich nachgehen könnte!

7
20.1 Legacy Series / NAT internal IP
« on: April 02, 2020, 01:42:19 pm »
Hi,
I want to enable OpenVPN from my Wifi VLAN, but without changing the client config. All my VPN Clinets have the external IP of my Server in their conifg.

Like: 80.72.100.100:443 (fantasy IP)

The OpenVPN Sevice ist listening on 10.27.30.35:1194.

From Outside, I do the following Forward NATing:
Interface: outside
Proto: TCP
Source: *
Destination: my Pub IP
Dest Port: 443
NAT IP: 10.27.30.35
NAT Port: 1194

That works finde.

Now I want the same for my Wifi, but I didint get it:

Interface: Wifi
Proto: TCP
Source: *
Destination: my Pub IP
Dest Port: 443
NAT IP: 10.27.30.35
NAT Port: 1194

Should'nt that work too? Do I miss something?
If i change my config to the internal IP and Port, then I can connect.
Thank You

8
German - Deutsch / Externe IP intern NAT'ten
« on: March 20, 2020, 03:42:49 pm »
Hi,
ich habe ein "Problem". Meine OpenVPN user verbinden sich mit einer externen IP, die auf meiner FW eingerichtet ist. Gleichzeitig habe ich ein VLAN für Wifi. Ich möchte erreichen, dass wenn meine User sich im WiFi bewegen, auch den VPN Tunnel über die externe IP erreichen können.

Ich schaffe es aber nicht dies über NAT'ing abzufangen.

Beispielsweise sieht meine Regel so aus:

Interface: Wifi
Source: any
Source Port: tcp
Destination: mypubip/32
Port: tcp/443

NAT Address 10.27.20.35
NAT Port: 2004 (hier lauscht OpenVPN)
STATIC Port: NO

Im TCP Dump sehe ich, das diese Regel keine Effekt hat, es wird nicht übersetzt. Geht das denn überhaupt mit "router eigenen IP's?"

Ändere ich die OVPN Config auf die interen IP's und Ports, geht das auch aus dem WiF.

Danke für Anregungen!

9
20.1 Legacy Series / HA Setup with multiple Public IP's - routing Problem
« on: March 15, 2020, 12:24:18 pm »
Hi,
I've got a few Public IP's and Configured them like this:

HA-Master: x.x.x.103
HA-Slave: x.x.x.250

All other IP's as CARP - IP Alias with VHID did'nt worked for me.

So my question now is about: I've got a few Port Forwards for the x.x.x.250 IP. But as long as my Master is... the master.. all requests are first going to my HS-Slave, becuase it is the Public IP of the slave, and my Service behind the .250 want to answer via default Gateway, wich is my Master - you see the problem? A valid connection cant be established. Is there a routing trick, that I did'nt see so far?

Is it Possbile the set the .250 as an other CARP address, even though that this is the public IP of the slave? My thought is, that the Master will then receive the .250 requests.

Thank you!

10
20.1 Legacy Series / Firewall design question (NAT Port Forward)
« on: March 10, 2020, 10:17:22 am »
Hi!
I have a shot question:

For example is the following Port forward rule is given:

Interface: WAN
Proto: TCP
Source: ANY
Ports: ANY
Destination: 43.1.1.1 (fantasy IP but in real a public IP that i own)
Ports: 25
NAT: internal MX Server IP
Ports: 25

Do I also have to create a Firewall Rule, or is that done automatically but not visible in the rules section for this interface (WAN)?

Thank you!

11
20.1 Legacy Series / Set MTU Size on VLAN Interface
« on: March 06, 2020, 12:29:25 pm »
Hi,
I'm currently installing a hardware Firewall with OpnSense (20.1.2) and 10GBit NICs and I'm trying to set die MTU Size to 9000 on each VLAN interface.

But I get the following error:
Code: [Select]
The following input errors were detected:

    MTU of a vlan should not be bigger than parent interface.
I have to assign die Parent Device and let it unconfigured except MTU Size.

Next Thing: If I check die MTU Size via CLI, all Interfaces still have the default MTU1500. First if I change the MTU Size via CLI to 9000, I will get my full 10gbit speed.

It looks like something went wrong. The Networkcard is an IntelX710-DA4. Any Idea what goes wrong?

I also get an erro message on cli if something changed with the NIC Config like:

Code: [Select]
ixl0: aq_add_macvlan err -53, aq_error 14
or
Code: [Select]
WARNING: queue 0 appears to be hung!
Code: [Select]
WARNING: queue 2 appears to be hung!
But I dont see any negative effects.

12
20.1 Legacy Series / IPSec Dead Peer Detection problem
« on: February 14, 2020, 08:12:11 am »
Hi,
I have a problem with IPSec and DPD. If I change an IPSec OR OpenVPN Server Config, it could happen, that a few IPSec Tunnels went down. But not all.

The Problem there is: the remote Site still thinks, that the tunnel is alive. I have to restart the Strongswan Service on all affected remote Sites. I've got 7 IPsec tunnels and 3-4 of them have that issue.

I played around with the DPD settings, like: 5 seconds, 3 retrys and as Action "Restart the tunnel". But even if I wait a minute, it does not happen. I also added a few "ping address" entries into the Phase2.

It's not a 20.1 related issue, it was also on 19.1.x

Any ideas what is going wrong? Thank you.

Edit: all Remote Sites running 20.1 or 19.1.

13
20.1 Legacy Series / Scheduled Upgrade?
« on: February 11, 2020, 02:13:49 pm »
Hi,
is it possible to schedule the upgrade from 19.7.10_1 to 20.1 via cronjob?

I want to do an unattended upgrade during the night.

Thank you!

14
German - Deutsch / Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
« on: February 03, 2020, 01:14:24 pm »
Hallo,
ich möchte auf einer Remote OPNSense instanz einen Freeradius Server installieren, der seine LDAP Anfragen via VPN an meinen Standort stellt.

Bei FreeRadius gebe ich also meine IP vom LDAP Server ein. Der Dienst startet aber nicht, da sein Default inferface (WAN) die ZielIP nicht erreichen kann.

Ich habe dann versucht mit eine NAT Rule (outbound) zu bauen:

Interface: WAN
Source: WAN Address
Source Port: *
Destination: LDAP-IP/32
Destination Port: *
NAT Address: LAN
NAT Port: *
Static Port: NO

In meinem Log sehe ich nun auch, dass das WAN Interface mit der LAN IP versucht den Server zu erreichen, es wird also richtig genattet. Geht aber ja immer noch nicht, weil er nachwievor das WAN interface nutzt.

Wenn mit einem Port Probe mit der LAN Address den LDAP Server zu erreichen, funktioniert das, der VPN Tunnel ist korrekt installiert.

Also:
hat jemand eine Idee, wie ich Freeradius erzwingen kann, dass er das LAN Interface zu nutzen hat?
Danke!

15
German - Deutsch / IPSec Mobile Clients - ich schaff es nicht...
« on: January 23, 2020, 10:59:58 am »
Hallo,
ich versuche immer mal wieder, wenn es meine Zeit erlaubt, den Mobile IPSec Zugang einzurichten und scheitere immer wieder. Ich bin mittlerweile eigentlich recht gut vertraut mit OPNSense, IPSec (Site2Site), OpenVPN (Client & S2S) und alles was dazu gehört. Ich verstehe einfach den IPSec Mobile Client part nicht.

Firewall Ports sind offen, sonst würden auch meine IPSec S2S Verbindungen nicht aufgebaut werden.

Client zum testen: windows 10

Auf meinem Server (19.7.9_1) ist eingerichtet:

VPN -> IPsec -> Mobile Clients:
Enable IPsec Mobile Client Support
Backend for auth: meine LDAP Server (Funktionieren für OpenVPN)
Virtual Address Pool: 192.168.49.0/24
PHase2 PFS Group 14

VPN -> IPsec -> Tunnel Settings -> Phase1 for Mobile Client:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: (mein WAN Interface)

Phase 1 proposal (Authentication)
Authentication method: (Mutual PSK+Xauth) <- habe diverse andere Settings auch ausprobiert)
My identifier: "My IP address"
Pre-SharedKey: blahblah
Encryption algorithm: AES 256
Hash algorithm: SHA 256
DH key group: 14
LifeTime: 28800
rest default

Phase 2 entsprechend:
x.y.z.z/21    Mobile Client    AES (256 bits), aes256gcm16    SHA256, SHA384, SHA512    Group 14 (2048 bits)



Log Auszug Server:
Jan 23 10:53:56    charon: 09[NET] <10867> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:56    charon: 09[ENC] <10867> generating INFORMATIONAL_V1 request 4063727981 [ N(NO_PROP) ]
Jan 23 10:53:56    charon: 09[IKE] <10867> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:56    charon: 09[ENC] <10867> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:56    charon: 09[NET] <10867> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:55    charon: 09[NET] <10866> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:55    charon: 09[ENC] <10866> generating INFORMATIONAL_V1 request 3308202714 [ N(NO_PROP) ]
Jan 23 10:53:55    charon: 09[IKE] <10866> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:55    charon: 09[ENC] <10866> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:55    charon: 09[NET] <10866> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:54    charon: 09[NET] <10865> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:54    charon: 09[ENC] <10865> generating INFORMATIONAL_V1 request 1607280496 [ N(NO_PROP) ]
Jan 23 10:53:54    charon: 09[IKE] <10865> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:54    charon: 09[ENC] <10865> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:54    charon: 09[NET] <10865> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)


TCP Dump Server:
10:53:54.114914 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:54.116322 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:55.126042 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:55.127817 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:56.162175 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:56.162822 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:59.158872 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:59.159337 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf


Windows 10 Meldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen (...) nicht weiter aussagekräftig.

Settings:
VPN Anbieter: Windows integriert
Name: blah
Server: Public IP vom Server
VPN Typ: L2TP/IPsec mit vorinstalliertem Schlüssel (habe alles möglich auch ausprobiert)
Vorinstallierter Schlüssel: wie beim Server eingetragen:


Kann mir jemand einen entschiedenen Tipp geben, wie man es "richtig" macht? Muss man vielleicht auf Windows10 Seite irgendwas anderes einstellen?

Pages: [1] 2 3
OPNsense is an OSS project © Deciso B.V. 2015 - 2020 All rights reserved
  • SMF 2.0.17 | SMF © 2019, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2