Topics

1

German - Deutsch / Site to MultiSite

« on: September 13, 2024, 08:04:42 pm »

Hallo,

ich habe ersteinmal ehr ein theoretische Frage.
Ein normales Site to Site Setup ist mir klar. Server... Routing uns so weiter
Für ein Site to MultiSite habe ich bis jetzt für jede "Gegenstelle" einen eigenen Server aufgesetzt...
Soweit so gut.

Nun stellt sich mir die Frage, kann ich einen Server nutzen um mehrere Sites abzudecken? Und wenn ja, wo liegen die Stolperstein.

Zumal sich das VPN Setup mittlerweile auch geändert hat

Danke

2

German - Deutsch / eigenes Geoblocking für eine IP Adresse umgehen

« on: July 04, 2024, 04:27:01 pm »

Hallo,

ich habe auf der WAN Schnittstelle in der Richtung OUT geoblocking aktiviert.
Nun möchte ich für eine IP das geoblocking umgehen. 192.168.178.220/32

leider wir die IP Adresse trotzdem geblockt.
Ich erwarte eigentlich, dass die Regeln von oben nach unten abgearbeitet werden und nach dem first match einfach durchgelassen werden

hier das Netzwerk:

Code: [Select]

Ethernet-Adapter Ethernet 5:

   Verbindungsspezifisches DNS-Suffix:
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.220
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.178.1
Wenn ich die zweite Regel deaktiviere komme ich auf die Webseite - aber dann logischerweise von allen

Ich glaube ich sehe den Wald vor lauter Bäumen nicht

Für hinweise bin ich dankbar

3

German - Deutsch / Nginx mit Client Zertifikat und whitelist

« on: January 14, 2024, 09:32:06 am »

Hallo,

ich habe nginx mit Client Zertifikaten eingerichtet. Gibt es eine Möglichkeit whitelisting für IP Adressen ohne Client Zertifikat zu machen? Mit den ACLs klappt es nicht wirklich.

Danke

4

German - Deutsch / Nginx blockt Pythonscripte

« on: January 07, 2024, 10:03:40 am »

Hallo,

ich habe festgestellt, dass der Nginx Pythonrequests blockt.
Wenn ich mit dem Pythonscript ohne Nginx auf den Endpunkt zugreife, funktioniert das Script.
Wenn ich in dem Pythonrequest im Header den User Agent ändere, kann ich auch über Nginx auf den Endpunkt zugreifen.
Mein Problem ist also grundsätzlich gelöst.
Jetzt meine Frage, an welcher Stelle hätte ich das rauslesen können?
Ich finde keine Einstellung in dem Ich diese Verhalten ändern kann, bzw wo diese Verhalten beschrieben ist.

Danke.

5

German - Deutsch / OpenVPN Bond

« on: October 13, 2023, 02:33:07 pm »

Hallo,

ich weiß, dass man mit OpenVPN grundsätzlich] ein Bond einrichten kann.
Geht das auch mit opnsense über die GUI? Hat damit schon jemand Erfahrung gesammelt?

Danke

6

German - Deutsch / Temporary failure in name resolution

« on: September 05, 2023, 07:37:09 pm »

Hallo,

kann mir jemand erkären, an wechler stelle ich mit suchen anfangen sollte?

Kurzbeschreibung:
Opnsense aktuelle Version
Kurz nach dem Start der Firewall erhalte ich folgende Fehlermeldung, wenn ich pingen will:

Temporary failure in name resolution

als DNS Server habe ich den 8.8.8.8 eingetragen.
Mittels nslookup kann ich den Namen auch auflösen.
und die aufgelöste IP kann ich auch anpingen.

eigentlich ein reines DNS Problem. Wenn ich den DNS Server auf die IP der opnsense lege geht es auch.
Ich habe die opnsese deswegen in verdacht, weil alle Systeme hinter der Firewall das Problem haben ( ok, sind nur zwei) und weil es kurz nach dem Neustart noch geht.

root@docker01:~# ping web.de
ping: web.de: Temporary failure in name resolution
root@docker01:~# cat /etc/resolv.conf
nameserver 8.8.8.8
root@docker01:~# nslookup
> web.de
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   web.de
Address: 82.165.229.83
Name:   web.de
Address: 82.165.229.138
> exit

root@docker01:~# ping 82.165.229.83
PING 82.165.229.83 (82.165.229.83) 56(84) bytes of data.
64 bytes from 82.165.229.83: icmp_seq=1 ttl=245 time=22.4 ms
^C
--- 82.165.229.83 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.397/22.397/22.397/0.000 ms

Danke

7

German - Deutsch / openVPN site2site mit redirect Gateway

« on: August 06, 2023, 08:34:20 am »

Hallo,

ich habe eine einfaches Site2Site nach der Anleitung von opnsense aufgebaut (beide Seiten opnsense). läuft!
Nun wollte ich den gesamten Traffic durch den VPN Routen.
Dafür habe ich den Hacken redirect Gateway auf dem Server gesetzt. Nun hätte ich erwartet, dass der komplette Traffic über den Server geroutet wird.
Zusätzlich habe ich auf dem opnsense Client die 0.0.0.0/0 bei IPv4 remote Network eingetragen.
Wenn ich auf der Remote Site mir die öffentliche IP anschaue (vom Client Rechner -> wie ist meinIp) ist das immer noch die öffentlich IP von vorher und nicht die öffentliche IP vom Server.

Wo liegt der Denkfehler?

Danke

8

German - Deutsch / Bridged Interface und Firewall

« on: June 20, 2023, 10:37:26 am »

Hallo,

ich habe eine Verständnisfrage.
Lage:
Ich habe hier ein kleines System mit 6 Ports.
Port 1 habe ich als WAN konfiguiert (DHCP)
Port 2-6 habe ich zu einer Bridge zusammen gefasst. (172.17.1.0/24)
An Port 2 ist ein Laptop 17.17.1.102 (DHCP)
An Port 3 ist ein Scanner 17.17.1.101 (DHCP)
Das System ist als Site2Site mit OpenVPN (hier quasi Offsite) eingerichtet.
Die Firewall Rules habe ich auf die Bridge gelegt.

Ich komme mit allen Systemen ins Internet und auf die andere Seite des VPN Tunnels.
Ich komme von der gegenüberliegenden Seite auf beide Endgeräte.

Ich komme nicht von dem Laptop an Port 2 auf den Scanner an Port 3
Jetzt habe habe ich auf beiden Ports noch eine any - any Regel gesetzt. Nun komme ich auch vom Latop auf den Scanner

Jetzt die Frage:
Warum muss ich noch eine Regel direkt auf die Ports setzen, wenn ich innerhalb der Bridge auf das andere Gerät möchte?

Danke

9

German - Deutsch / Portforwarding geht nicht

« on: November 13, 2022, 04:18:52 pm »

Hallo,

ich habe eigentlich ein einfaches Problem, welches ich trotzdem nicht zum laufen bekomme.
Opnsense ist firsch installiert (Läuft auf einem Proxmox Server mit zwei NICs) und abgesehen von den IP Adressen und NAT ist noch nichts konfiguriert

Code: [Select]

------------+  +------------------------------------------------             +-----------------------------------------------------------------+
|Internet--- |opnsense (Netz A)                               |----------| opnsense (Netz B)                                                     |
|              |   |WAN (DHCP) LAN(192.168.200.1/24)  |             | WAN (DHCP 192.168.200.194) LAN (10.201.1.1/24) |
------------+  +------------------------------------------------             +------------------------------------------------------------------

Nun versuche ich aus den Netz A über NAT in das Netz B zu kommen.
Eigentlich geht fast alles (außer NAT)
Rechner aus Netz A (IP 192.168.200.113/24 )-> Internet

Code: [Select]

  1    <1 ms    <1 ms    <1 ms  192.168.200.1
  2     6 ms     6 ms     6 ms  gate1.vit0.new3.ccnst.de [109.199.176.8]
  3     *        9 ms    16 ms  icpeer1.muc0.new3.ccnst.de [109.199.178.106]
  4     8 ms     8 ms     8 ms  pvpeer15169-ext1.muc0.new3.ccnst.de [109.199.161.34]
  5     9 ms     9 ms     9 ms  108.170.247.97
  6     8 ms     8 ms     9 ms  209.85.247.143
  7     9 ms     8 ms     9 ms  dns.google [8.8.8.8]
Rechner aus Netz B -> Internet

Code: [Select]

1  10.201.1.1 (10.201.1.1)  0.174 ms  0.151 ms  0.147 ms
 2  192.168.200.1 (192.168.200.1)  0.474 ms  0.470 ms  0.465 ms
 3  gate1.vit0.new3.ccnst.de (109.199.176.8)  6.336 ms  6.332 ms  6.327 ms
 4  icpeer1.muc0.new3.ccnst.de (109.199.178.106)  16.345 ms  15.899 ms  17.195 ms
 5  pvpeer15169-ext1.muc0.new3.ccnst.de (109.199.161.34)  9.014 ms  9.011 ms  9.006 ms
 6  74.125.244.97 (74.125.244.97)  10.602 ms  10.265 ms 108.170.247.97 (108.170.247.97)  9.397 ms
 7  209.85.247.201 (209.85.247.201)  9.391 ms 142.251.68.121 (142.251.68.121)  9.105 ms 142.251.68.125 (142.251.68.125)  9.491 ms
 8  dns.google (8.8.8.8)  8.903 ms  8.706 ms  8.693 ms
Erwartungs gemäß, geht der Hop über die zusätzliche Firewall

Ich kann auch von Netz B nach Netz A Pingen

Code: [Select]

root@docker01:~# ping -c 1 192.168.200.113
PING 192.168.200.113 (192.168.200.113) 56(84) bytes of data.
64 bytes from 192.168.200.113: icmp_seq=1 ttl=127 time=1.03 ms

--- 192.168.200.113 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.031/1.031/1.031/0.000 ms
root@docker01:~#
Interessanterweise klappt es mit Tracerout (von Netz B nach Netz A) nur mit deaktiviert Firewall

Ohne Firewall

Code: [Select]

traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
 1  10.201.1.1 (10.201.1.1)  0.244 ms  0.214 ms  0.206 ms
 2  192.168.200.113 (192.168.200.113)  0.870 ms  0.866 ms  0.861 msMit Firewall

Code: [Select]

traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
 1  10.201.1.1 (10.201.1.1)  0.179 ms  0.165 ms  0.156 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  *^C
Das ganze geht dann noch bis 30

So sieht es bei NAT aus

Code: [Select]

Interface Proto Address Ports Address          Ports         IP                 Ports Description
LAN          TCP  *          *         LAN address 22, 80, 443 *                 * Anti-Lockout Rule
WAN         TCP  *          *          *                  3000 (HBCI) 10.201.1.3 3000 (HBCI)
Bei Interfaces fehlt sowohl der Hacken bei "Block private networks" und auch bei "Block bogon networks"

Hier noch der Porttest von Netz A

Code: [Select]

Test-NetConnection -computer 192.168.200.194 -port 3000
WARNUNG: TCP connect to (192.168.200.194 : 3000) failed
WARNUNG: Ping to 192.168.200.194 failed with status: TimedOut


ComputerName           : 192.168.200.194
RemoteAddress          : 192.168.200.194
RemotePort             : 3000
InterfaceAlias         : Ethernet 7
SourceAddress          : 192.168.200.113
PingSucceeded          : False
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : False

Ich wäre dankbar wenn hier jemand einen Tipp für mich hätte.

10

German - Deutsch / opnsense config.xml groß -> opnsense (GUI) langsam

« on: October 01, 2022, 09:29:45 pm »

Hallo,

meine opnsense Config ist 4,7MB groß, wiel ich zig tausende einträge von gebannten IP Adressen in der nginx Section habe.

Wenn ich alle gebannten Einträge per Hand lösche und opnsense neustarte, läuft die GUI wieder super, wie man es gewohnt ist und erwartet.

Allerdings werden danach keine Änderungen mehr an das System in nginx übertragen.
Bedeutet, wenn ich über das Webinterface einen neuen Upstream erstellt wird er zwar in der config.xml eingetragen, kommt aber nicht in der nginx.conf an.

Wenn ich die alte config mit all den gebannten IP Adressen wieder nehme, funktionieren die Änderungen wieder.

Hat jemand einen Tipp für mich, wie ich die gebanntent IPs aus nginx wieder entferne?

Hier im Forum gab es eine Lösung über die API, das funktioniert nur bedingt. Da es ewig dauert (2 Sekunden pro Eintrag) ich hab hier über 20000 Einträge -> dann dauert das auch nur einen Monat bis alle Einträge gelöscht sind

Ich habe aus der Config den kompletten Eintrag über nginx enfernt und dann die config über die GUI importiert.
Nach dem neustart habe ich nur den Additional Teil der Config ohne die banned IPs ohne Fehler importiert. Allerdings mit dem gleichen Ergebnis.

Für Tipps bin ich sehr dankbar

stefan

11

German - Deutsch / API für Trust

« on: August 29, 2022, 12:15:56 pm »

Hallo,

gibt es mittlerweile eine API oder eine andere Möglichkeit mit opnsense die Zertifikate erstellen zulassen, sie dem Nutzer zuzuweisen und dann als openvpn export herunter zuladen?

Danke

12

German - Deutsch / Rest API Firmware Erklärung

« on: January 28, 2022, 07:48:10 pm »

Hallo,

ich will die opnsense über die REST API updaten. Leider habe ich noch leichte Verständnisprobleme.
REST läuft, extra Account usw. das ist klar. Mir geht um die API Aufrufe selbst

Was ich für mich rausgefunden habe:

update: führt das Update innerhalb eines releases durch
upgrade: führt das Update auf die nächste Hauptversion durch.
status: zeigt eigentlich an was unter "https://ip/ui/core/firmware#updates" zu finden ist.

nun habe ich gerade ein upgrade durchgeführt und erhalte bei dem REST API aufruf von Status folgende Antwort
"status_msg":"Firmware status requires to check for update first to provide more information."

Nachdem ich im WebUI unter "https://ip/ui/core/firmware#status" auf "check for updates" geklickt habe erhalte ich folgende Antwort bei der API Abfrage nach dem status:
"status_msg":"There are no updates available on the selected mirror."

Diese Antwort überrascht mich jetzt nicht, da ja gerade alles updates installiert wurden sind.

Nun meine Frage:
wie löse ich die Abfrage für "check for updates" über die API aus?

Danke.

13

German - Deutsch / ACME Client

« on: December 29, 2021, 09:32:41 pm »

Hallo,

ich habe gerade ein problem mit dem erneuern der Zertifikate.
Ich habe opnsense neu aufgesetzt und das Backup wieder eingespielt. Nun gibt es beim renew probleme.

2021-12-29T21:25:04   acme.sh[80417]   See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
2021-12-29T21:25:04   acme.sh[73105]   Please add '--debug' or '--log' to check more details.
2021-12-29T21:25:04   acme.sh[55692]   Removed: Success
2021-12-29T21:25:04   acme.sh[48378]   Record removed successfully.
2021-12-29T21:25:02   acme.sh[11288]   Cleaning up after DNS-01 Hurricane Electric hook
2021-12-29T21:25:02   acme.sh[8119]   Removing txt: hnbvG3dDcoFxqp-whZgC_9Sx73g6PgBdpLKLIAEmXTA for domain: _acme-challenge.example.com
2021-12-29T21:25:02   acme.sh[46417]   Removing DNS records.
2021-12-29T21:25:02   acme.sh[42185]   *.example.com:Verify error:No TXT record found at _acme-challenge.example.com
2021-12-29T21:24:59   acme.sh[68037]   Pending, The CA is processing your order, please just wait. (1/30)
2021-12-29T21:24:57   acme.sh[80875]   It seems the CA server is busy now, let's wait and retry. Sleeping 1 seconds.
2021-12-29T21:24:57   acme.sh[62660]   Verifying: *.example.com
2021-12-29T21:22:57   acme.sh[39118]   Sleep 120 seconds for the txt records to take effect
2021-12-29T21:22:57   acme.sh[13375]   The txt record is added: Success.
2021-12-29T21:22:57   acme.sh[4840]   TXT record added successfully.
2021-12-29T21:22:55   acme.sh[56019]   Using DNS-01 Hurricane Electric hook
2021-12-29T21:22:55   acme.sh[47280]   Adding txt value: hnbvG3dDcoFxqp-whZgC_9Sx73g6PgBdpLKLIAEmXTA for domain: _acme-challenge.example.com
2021-12-29T21:22:55   acme.sh[58955]   Getting webroot for domain='*.example.com'
2021-12-29T21:22:53   acme.sh[28844]   Getting domain auth token for each domain
2021-12-29T21:22:53   acme.sh[59329]   Single domain='*.example.com'

Aus meiner Sicht erzeugt er das den Record. Der ist auch im DNS angekommen, dann wartet er die 2 Minuten
Dann findet er den Record nicht
und danach löscht er ihn auch wieder.


Ich habe bei dem ACME Client einen reset durchgefürht sowie das Zertifikat komplett gelöscht und neu angefordert.

Hat jemand einen Tipp?

14

German - Deutsch / NAT lässt keine Pakete durch

« on: December 22, 2021, 01:53:59 pm »

Hallo,

ich versuche NAT einzurichten, was ja eigentlich nicht schwer ist und auch in Teilen funktioniert.

Glasfaser   TCP   *   *   *   2106   172.16.3.11   2106         
Glasfaser   TCP   *   *   *   2222   172.16.3.248   80 (HTTP)

der erste Eintrag funktioniert.
der zweite Eintrag leider nicht, eigentlich soll er auch auf einen anderen Server, ich habe ihn nur testweise auf einen Webserver gelegt.
Der Browser liefert Zeitüberschreitung.
Folgendes finde ich unter Firewall Diagnostics Statistics Rules

@13 rdr on lagg0_vlan4 inet proto tcp from any to any port = ekshell -> 172.16.3.11 port 2106
 evaluations: 47
 packets: 522
 bytes: 127600
 states: 10
 inserted: uid 0 pid 6599
 state_creations: 20

@14 rdr on lagg0_vlan4 inet proto tcp from any to any port = 2222 -> 172.16.3.248 port 80
evaluations: 85
packets: 0
bytes: 0
states: 0
inserted: uid 0 pid 6599
state_creations: 0

Dies bestätigt mich, dass keine Pakete durch gehen.
Ich habe versucht den zweiten Eintrag neu zu erstellen sowie den vorhandenn zu duplizieren. Beides mal mit dem gleichen Ergebnis.
Die Firewall selbst kommt auf den Webserver

# /usr/bin/nc -v -w 10 -z  -4 '172.16.3.248' '80'
Connection to 172.16.3.248 80 port [tcp/http] succeeded!

Beide Einträge haben ihren weg auch in die Rules geschafft.

IPv4 TCP   *   *   172.16.3.11   2106   *   *      
IPv4 TCP   *   *   172.16.3.248   80 (HTTP)   *   *

Nun stellt sich mir nur die Fragen wo es hängt.
Hat jeamand einen Tipp für mich?

Danke

15

German - Deutsch / Rest API Firmware status check was aborted internally. Please try again

« on: December 18, 2021, 11:18:26 am »

Hallo,

ich versuche mich gerade mit der REST API. Die Absicht ist das einspielen der Updates über REST
folgenden Endpunkt frage ich hab
api/core/firmware/status
Antwort:
{"status_msg":"Firmware status check was aborted internally. Please try again.","status":"error"}
Wo liegt das Problem, und wie löse ich das?
Ich habe es gem. Please try again nochmal versucht, allerdings kommt immer die gleiche Meldung

Wenn ich hab der Webseite per Hand "Check for Updates" klicke, erhalte ich die gewünschte Antwort
Danke