Topics

1

German - Deutsch / [SOLVED] Routing verhält sich nicht wie konfiguriert

« on: July 24, 2020, 11:15:17 am »

Hallo,

ich habe ein Routing-Problem mit einer aktuellen OPNsense Installation. Wenn ich einen Host im Subnetz anpinge, wird das Paket nicht an den Router geschickt, sondern an das Default-Gateway obwohl die Route korrekt gesetzt ist.

Setup-Übersicht

• 172.17.3.1 - Default Gateway
• 172.17.3.10 - Adresse des externen Interfaces (igb4) der OPNsense
• 172.17.3.76 - Gateway für das Subnetz 10.100.0.0/24

Diagnose
# route show 10.100.0.1
   route to: 10.100.0.1
destination: 10.100.0.0
       mask: 255.255.255.0
    gateway: 172.17.3.76
        fib: 0
  interface: igb4
      flags: <UP,GATEWAY,DONE,STATIC>

Ich habe mir die Ethernet-Pakete auf dem igb4-Interface mit tcpdump angesehen.

# tcpdump -e -i igb4 -n ip proto \\icmp and net 10.100.0.0/24                                     
...
10:58:18.584392 6c:b3:11:22:2b:b6 > cc:ce:1e:d8:4d:c6, ethertype IPv4 (0x0800), length 98: 172.17.3.10 > 10.100.0.1: ICMP echo request, id 40277, seq 0, length 64               


Diese werden blöderweise an das Default-Gateway geschickt (cc:ce:1e:d8:4d:c6) anstatt an den 172.17.3.76 (ee:30:5d:8a:54:31)

# arp -a -n | egrep 172.17.3.1\|172.17.3.76
? (172.17.3.76) at ee:30:5d:8a:54:31 on igb4 expires in 365 seconds [ethernet]
? (172.17.3.10) at 6c:b3:11:22:2b:b6 on igb4 permanent [ethernet]
? (172.17.3.1) at cc:ce:1e:d8:4d:c6 on igb4 expires in 1197 seconds [ethernet]


Wie kann ich das weiter Debuggen?
Kann ich das Paket irgendwo im System "verfolgen"?

Edit: IP-Adresse des GW korrigiert.

2

German - Deutsch / configd ist ohne Socket gestartet

« on: July 15, 2020, 12:53:21 pm »

Hallo,

ich habe ein Problem mit dem Configd auf einer OPNsense. Der configd Daemon ist gestartet, hat aber keinen Socket gebunden. In den Logs wird nichts angezeigt.

Wie kann ich das weiter debuggen?

Hier die Tests auf dem System:

# fuser /var/run/configd.pid
/var/run/configd.pid: 65792w
# ps ax | grep 65792
65792  -  Is     0:00.30 /usr/local/bin/python3 /usr/local/opnsense/service/configd.py (python3.7)
47360  0  S+     0:00.00 grep 65792
# ls /var/run/configd*
/var/run/configd.pid

3

20.1 Legacy Series / System:Routes:Configuration shows no gateways

« on: July 15, 2020, 10:32:41 am »

Hello,

I want to create a static route, but the configurated gateway will not shown unter System:Routes:Configuration -> "Edit Route".

Attached screenshots:

• Gateway-Konfiguration
• Edit-Route

OPNsense Version:  20.1.8_1

4

Web Proxy Filtering and Caching / Squid basic_pam_auth module issue

« on: March 04, 2020, 09:29:51 am »

Hello,

we've installed an OPNsense 20.1.1 system and want to configure the Squid proxy with ldap authentication.
At the web ui, we configured the LDAP server for authentication. The setup is correct because we could see successful bind requests at the ldap server log.

Squid logs an error in /var/log/squid/cache.log:

...  kid1| helperHandleRead: unexpected read from basicauthenticator #Hlpr1, 4 bytes 'OK
'
...  kid1| helperHandleRead: unexpected read from basicauthenticator #Hlpr1, 4 bytes 'OK
'

This is our proxy auth module configuration at the system:

# grep -r auth_ /usr/local/etc/squid/|grep -v '#'
/usr/local/etc/squid/squid.conf:auth_param basic program /usr/local/libexec/squid/basic_pam_auth -o
/usr/local/etc/squid/squid.conf:auth_param basic realm OPNsense proxy authentication
/usr/local/etc/squid/squid.conf:auth_param basic credentialsttl 2 hours
/usr/local/etc/squid/squid.conf:auth_param basic children 5

But the proxy auth module sends an additional line.

# echo 'martin VerySecurePassword'|/usr/local/libexec/squid/basic_pam_auth -o
{"dn":"uid=martin,ou=People,dc=lwsystems,dc=intern"}
OK

The line starting with {"dn":"... causing the error.

UGLY WORKAROUND

We moved the file basic_pam_auth to basic_pam_auth_ORG and created a wrapper script.

Content of wrapper script:

#!/usr/local/bin/perl
#
#
$|=1;  # no buffering on STDOUT
 
while (<STDIN>) {
  open AUTH, '|/usr/local/libexec/squid/basic_pam_auth_ORG | grep -v "dn"';
  print AUTH $_;
  close AUTH;
}

mv  basic_pam_auth basic_pam_auth_ORG
vi basic_pam_auth
chmod 0755 basic_pam_auth

Edit: Workaround added.

Regards,
Martin