Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - fdiskc2000

Pages1
#1
German - Deutsch / Probleme mit MDNS Repeater
December 13, 2019, 12:43:38 AM
Hi,

was ich vorhabe:

VLAN 200 - 192.168.200.0/24
VLAN 210 - 192.168.210.0/24

Im 210er sollen die ganze netten SmartHome Gadgets bleiben, aber die APPs für die Steuerung sind im 200er.
Zum Beispiel ein SynologyAssistent. Der alle Synology NAS im Netzwerk ermittelt und anzeigt.

Ich dachte genau dafür ist der MDNS Repeater. Das Multicast über VLAN und Subnetgrenzen hinaus funktioniert.
Habe ich also installiert, aktiviert und beide Interfaces eingetragen. Funktioniert allerdings nicht.

Bin ich auf dem Holzweg, geht gar nicht was ich meine rausgelesen zu haben? Oder mache ich etwas falsch?
Bin für Eure Tipps dankbar.
#2
Hardware and Performance / High CPU usage: Xeon E3-1265L V2
August 15, 2019, 10:16:43 AM
Hi, i´m actually using OPNsense 19.7.2 bare metal on an DELL R210i with 8GB RAM and this Xeon E3-1265L V2.

Thought could be overkill, but better to have to much than less performance.
Last month we got our new Fiber 600/300 and this OPNsense is working as router/firewall.

Of course to check what i get, i´m running speedtest.net from time to time. And everytime i do this i see high CPU Usage between 60-100%

Is this totally all 4 cores, or only one core maxing?

If this is really 100% of this CPU i´m wondering why this is so high.

Can someone give me a hint? I epexted this CPU to have more than enough power.
#3
German - Deutsch / (SOLVED) Firewall / Rules / richtiges Interface
June 19, 2019, 04:48:01 PM
Moin zusammen,

ich habe jetzt angefangen mit VLAN´s zu spielen und aktuell einen Rechner erfolgreich im VLAN 200 eingebunden.
So ganz blicke ich das aber doch noch nicht, wann ich auf welchem Interface eine Regel erstelle (sofern es um mehr Interfaces als nur WAN + LAN geht):

Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?
- wenn dieser ins Internet will (auf dem VLAN200-Interface? Das Firewall Log zeigt immer parallel einen Eintrag für das VLAN200 und danach die abgehende Anfrage der OPNsense über WAN ins Internet)

- wenn der Laptop auf die WebGUI der Opnsense soll?

Ein weiterer verwirrender Bereich ist der OpenVPN Server. Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:

1. FIPVPN (Client verbindung zu "feste IP.net") damit die OPNsense eine feste IPv4 hat.
2. OVPNServer (wohin der Server seine Verbindung anbiet?)
3. OpenVPN (was aus dem OPNVPN Netzwerk wohin darf?)

Ich habe das Thema VPN zwar mit try&error zum Laufen bekommen. Aber das mit den zuständigen Interfaces für die FW-Regeln dabei noch nicht ganz verstanden fürchte ich.

Leider geht auch das Buch "der-opnsense-praktiker" nicht tief genug auf soetwas ein ;-(
Wäre toll wenn jemand sich die Mühe machen mag, das mit einfachen Worten zu erläutern.

Vielen Dank vorab.
#4
19.1 Legacy Series / [SOLVED] Route Problems when Opnsense is a VPN-Client?
March 20, 2019, 02:26:50 PM
Hi,

meanwhile i established a VPN-connection from my Opnsense to my VPN-Provider to get an externed fixed IPv4. But somethins goes wrong. Tried to visualise my network


               WAN                      VPN static IPv4
                 :                        : X.X.X.X
                 : DSL                  :
                 :                        :
             .---+---.                 :
         Fritzbox .  |                 :
             '---+---'                  :
                 |                        |
        192.168.178.1/24        | über WAN
                 |                        |
            .----+----.              .----+----.
            | LAN-Switch |          OpenVPN Client
            '----+----'              '----+----'
                   |                        |
                   |      .----------.   |
                  +------| OPNsense|------+
     192.168.178.157 .       
                             |
                      LAN | 192.168.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                               |
                     ...-----+-----...
                     (Workstation ) 192.168.1.10 (Gateway 192.168.1.1 / DNS 192.168.178.49)

When VPN is down, the Workstation can access the internet as it should. Not Problems.
Routes are shown in screenshot attachment.
Of course the Opnsense is not reachable via external IP at this moment

When the VPN is up, the Connections sets new routes, which seams to be need.

Problem: with VPN up th Opnsense is reachable through external IP, but the Workstation can not reach Websites. When i understand the live view of my firewall correctly, the Workstation tries to go out over the VPN-Connection (FIPNET), but not as planned over WAN.



I don´t understand what to do?
On the one hand the VPN Routes are needed, otherwise no external Connection to Opnsense. But the Workstation doesn´t get Websites. How to achive both?
I think it needs a way to tell LAN-Net to go out by WAN when initialising connections.
Am i right, that this is a routes problem?

Many thanks in advance for your help.
#5
German - Deutsch / [SOLVED] Routes - Problem in Verbindung mit Opnsense als VPN Client
March 20, 2019, 02:14:01 PM
Hi,

ich habe ja nun die VPN-Verbindung von meiner Opnsense hin zum VPN-Anbieter für eine feste IP eingerichtet bekommen. Es tut aber noch nicht ganz so wie es soll.
Ich habe einmal die ASCI-Netmap Vorlage versucht anzupassen: das ist mein aktueller Netzaufbau.

               WAN                      VPN static IPv4
                 :                        : X.X.X.X
                 : DSL                  :
                 :                        :
             .---+---.                 :
         Fritzbox .  |                 :
             '---+---'                  :
                 |                        |
        192.168.178.1/24        | über WAN
                 |                        |
            .----+----.              .----+----.
            | LAN-Switch |          OpenVPN Client
            '----+----'              '----+----'
                   |                        |
                   |      .----------.   |
                  +------| OPNsense|------+
     192.168.178.157 .       
                             |
                      LAN | 192.168.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                               |
                     ...-----+-----...
                     (Workstation ) 192.168.1.10 (Gateway 192.168.1.1 / DNS 192.168.178.49)

Wenn ich nun den VPN-Tunnel noch offline habe, läuft im LAN alles wie es soll. Das heisst die Workstation kommt normal ins Internet, kann Webseiten aufrufen etc.

Die Route sind dann wie im Screenshot zu sehen.
Logischerweise ist die OpnSense dann nicht unter der externen IPv4 erreichbar.

Wenn der VPN-Tunnel aufgebaut wird, setzt dieser auch neue Routen wie im Screenshot.

Das Problem ist, dass dann zwar die Opnsense über die externer IPv4 erreichbar ist, allerdings die Workstation nicht mehr sauber hinaus ins Internet kommt. Denn wenn ich die Live View der Firewall richtig verstehe, versucht die Workstation dann über den VPN-Tunnel rauszugehen (wo dann der DNS im Netz der Fritzbox nicht erreichbar ist etc.)



Wo liegt das Problem?
Einerseits scheinen die VPN-Routen notwendig, da sonst die Opnsense nicht unter der externen IPv4 antwortet,
andererseits scheinen diese die Workstation daran zu hindern normal zu surfen.
Wie bekommt man beides zeitgleich hin? Trotz der VPN-Routen dem LAN-Netz sagen das es über den regulären WAN Zugang gehen soll?
#6
19.1 Legacy Series / [SOLVED]VPN Tunnel from Feste-IP.net
March 17, 2019, 08:25:22 PM
Hi,

i´m not able to establish a working connection with this provider FIP-VPN Tunnel (based on OPENVPN) with my Opnsense using OPENVPN-client.

I tried with my synology to verify general functionality and logins and everything worked fine.
But i don´t get whats wrong with my opnsense settings.

i don´t find a hint in the log:

Code Select
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: Client disconnected
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: CMD 'state all'
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: Client disconnected
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: CMD 'state all'
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
Mar 17 20:00:56 openvpn[96968]: UDP link remote: [AF_INET]185.62.150.14:1194
Mar 17 20:00:56 openvpn[96968]: UDP link local (bound): [AF_INET]192.168.178.157:0
Mar 17 20:00:56 openvpn[96968]: Socket Buffers: R=[42080->42080] S=[57344->57344]
Mar 17 20:00:56 openvpn[96968]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.62.150.14:1194
Mar 17 20:00:56 openvpn[96968]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 17 20:00:56 openvpn[96968]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 17 20:00:56 openvpn[96968]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 17 20:00:56 openvpn[96968]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 17 20:00:56 openvpn[35559]: library versions: OpenSSL 1.0.2r 26 Feb 2019, LZO 2.10
Mar 17 20:00:56 openvpn[35559]: OpenVPN 2.4.7 amd64-portbld-freebsd11.2 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 6 2019
Mar 17 20:00:56 openvpn[35559]: WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
Mar 17 20:00:56 openvpn[11630]: SIGTERM[hard,init_instance] received, process exiting

Any help to get this working is really appreciated.
#7
German - Deutsch / [SOLVED] VPN Tunnel von Feste-IP.net mit OPNSENSE
March 17, 2019, 08:12:22 PM
Nabend zusammen,

ich verzweifle an der Einrichtung eines FIP-VPN Tunnel (basiert auf OPENVPN) in Verbindung mit meiner Opnsense.
Leider kann man eine .ovpn Config nicht direkt importieren, sondern muss anhand der Config die Einstellungen in Opnsense "manuell" vornehmen.
Jetzt bin ich nach wie vor der Meinung, dass es eigentlich so schwer nicht sein dürfte, aber .... ich bekomme das nicht zum laufen. Die Connection klappt schon nicht bis zum Ende.
Nun gehe ich ja prinzipiell davon aus, dass es an anderen liegt und nicht an mir :rolleyes:
Also habe ich den VPN-Tunnel von meiner Synology aus eingerichtet und der läuft sofort wie erwartet.

Ich mache also etwas in der Opnsense falsch, ich peile nur nicht was.
Hat das zufällig jemand so am Laufen und kann Hilfestellung geben?

Aus dem Log werde ich leider nicht schlauer:

Code Select
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: Client disconnected
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: CMD 'state all'
Mar 17 20:01:00 openvpn[96968]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: Client disconnected
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: CMD 'state all'
Mar 17 20:00:58 openvpn[96968]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
Mar 17 20:00:56 openvpn[96968]: UDP link remote: [AF_INET]185.62.150.14:1194
Mar 17 20:00:56 openvpn[96968]: UDP link local (bound): [AF_INET]192.168.178.157:0
Mar 17 20:00:56 openvpn[96968]: Socket Buffers: R=[42080->42080] S=[57344->57344]
Mar 17 20:00:56 openvpn[96968]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.62.150.14:1194
Mar 17 20:00:56 openvpn[96968]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 17 20:00:56 openvpn[96968]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 17 20:00:56 openvpn[96968]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 17 20:00:56 openvpn[96968]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 17 20:00:56 openvpn[35559]: library versions: OpenSSL 1.0.2r 26 Feb 2019, LZO 2.10
Mar 17 20:00:56 openvpn[35559]: OpenVPN 2.4.7 amd64-portbld-freebsd11.2 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 6 2019
Mar 17 20:00:56 openvpn[35559]: WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
Mar 17 20:00:56 openvpn[11630]: SIGTERM[hard,init_instance] received, process exiting

Wäre für Hilfe sehr dankbar um das Ding endlich zum Laufen zu bekommen.
#8
German - Deutsch / 18.7.4: Netzwerk/DNS Probleme wenn Opensense auch OPNVPN-Client
October 04, 2018, 10:19:10 PM
Moin, ich hoffe ich kann das hier richtig wiedergeben.
Ich habe den aktuellen Aufbau laut Bild (nicht hübsch, aber sollte es verdeutlichen  :) )


Solange der OPNVPN Tunnel nicht aufgebaut ist:
- kann die opnsense Updates abrufen
- funktioniert ein traceroute auf heise.de normal
- kann sowohl die Synology als auch der Windows7 Client normal ins Internet und alles ist schick.

Ist der OPNVPN-Tunnel zu Feste-IP.net aufgebaut, geht von alledem nichts mehr. Immer nur Timeouts etc. Beende ich den Tunnel, läuft wieder alles.

Ich habe eine Standard-Installation 1x LAN, 1x WAN.
DNS ist ein PiHole im Netz wer Fritzbox (der auch liefert)

Aktuell fehlt mir die Idee, der Ansatz wo das Problem liegt und wie ich das hinbekommen kann.

Ziel:
- alles sollte so laufen, als wenn der VPN-Tunnel nicht aufgebaut ist
- zusätzlich sollte über den VPN-Tunnel von extern die feste IP "herein" kommen und im späteren Verlauf per NAT/Reverse Proxy im LAN der Opnsense auf die entsprechenden Server/Dienste kommen.

Habt Ihr einen Tipp/Idee was ich falsch mache?


#9
18.7 Legacy Series / Outgoing Problems with 1x WAN + 1x OPNVPN Client to feste-ip.net: DNS broken?
October 02, 2018, 11:59:11 AM
Hi there,

i´m getting mad with my problem. Perhaps anyone can push me to the right direction, because i´m an absolut beginner with opnsense.

Actually:
Internet-Router is a Fritzbox 7490 which is managing my actual home network (192.168.178.0). There is a piHole DNS inside this network, provided as DNS by Fritzbox-DHCP.
My opnsense (18.7.4) is a client within this network, connected with WAN @ DHCP.
There is also a LAN-Interface (Standard 192.168.1.0) with some clients for testing.

The opnsense itself is connecting to feste-ip.net to get a fixed IPv4 by VPN-Tunnel, which is connected and traffic comes in.

Problem:
When the VPN Client (TUN-device) is connected, the opnsense seems to have DNS Problems, as opnsense update, traceroute etc. doesn´t work or need veeeeeery long time.
I don´t want traffic to go out the VPN for now, but seems the firewall wants to go this way?
Firewall Rules blocking traffic from LAN -> VPN don´t work.


What am i missing?
Many thanks for some help.
#10
German - Deutsch / NAT in Verbindung mit OPNVPN-Client klappt nicht. Hilfe bitte!
July 20, 2018, 11:56:46 PM
Guten Abend zusammen,

meine opnsense baut per opn vpn client einen Tunnel nach aussen auf um eine feste ip von feste-ip.net zu bekommen. Das läuft soweit.
Nun möchte ich zunächst auf Port Basis eingehende Verbindungen verteilen, wie es bisher auch mit meinem Zugang per Fritzbox funktioniert hat.



Die untere Regel, welche sämtlichen Traffic an die IP 192.168.1.23 weiterleitet funktioniert auch.
Allerdings müsste nach meinem Verständnis die erste Regel vorher greifen, welche allen Traffic an Port 8001 auf einen anderen Host (Alias OLDMAN) dort an Port 5001 weiterleitet.

Ich sehe im Live View der FW auch, dass von meiner externen IP (DSL Anschluss) etwas über ovpnc1 und LAN an eben diese IP (OLDMAN:5001) erlaubt wird, ich bekomme aber im Browser keine Antwort von diesem Host.

Zusammengefasst:
- Eingang an opnsense über opnvpn-client mit externer IPv4 funktioniert.
- Weiterleiten des externen Ports 8001 an den internen Host auf Port 5001 nicht.

Sicherlich ein ziemlich simpler Fehler, allerdings wälze ich den schon 2 Abende und wäre für Hinweise sehr dankbar.
Ach ja, ich setze die aktuellste opnsense Version ein:
OPNsense 18.1.12-amd64
FreeBSD 11.1-RELEASE-p11
OpenSSL 1.0.2o 27 Mar 2018

Danke für Euren Support.
Pages1