Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - hboetes

Pages: [1]

19.7 Release Candidate Series / seting up high availability

« on: April 03, 2019, 11:02:55 am »

Hi there,

We were already using OPNsense as a VM and have now bought a hardware appliance. Of course the VM was not set up with a full trunk, but with separate interfaces, for each VLAN one interface.
The appliance obviously becomes a trunk and will get VLANs as network interfaces.

Is this a problem when setting up a HA and config synchronisation?

18.7 Legacy Series / DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the

« on: March 05, 2019, 04:43:41 pm »

Hi there,

So the error is: "DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface."

Well it's not enabled.

After googling that I found this: https://forum.netgate.com/topic/42997/can-t-enable-dhcp-relay

So I made a config backup and searched for dhcp and found:


  <dhcpd>                                                                                                                                                                                                                                                      
    <lan>                                                                                                                                                                                                                                                      
      <range>                                                                                                                                                                                                                                                  
        <from>10.10.10.10</from>                                                                                                                                                                                                                               
        <to>10.10.10.245</to>                                                                                                                                                                                                                                  
      </range>                                                                                                                                                                                                                                                 
    </lan>                                                                                                                                                                                                                                                     
    <opt2>                                                                                                                                                                                                                                                     
      <enable>1</enable>                                                                                                                                                                                                                                       
      <gateway>10.10.30.1</gateway>                                                                                                                                                                                                                            
      <domain>axis-guest</domain>                                                                                                                                                                                                                              
      <ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>                                                                                                                                                                                                      
      <numberoptions/>                                                                                                                                                                                                                                         
      <range>                                                                                                                                                                                                                                                  
        <from>10.10.30.100</from>                                                                                                                                                                                                                              
        <to>10.10.30.200</to>                                                                                                                                                                                                                                  
      </range>                                                                                                                                                                                                                                                 
      <dnsserver>1.1.1.1</dnsserver>                                                                                                                                                                                                                           
      <dnsserver>8.8.8.8</dnsserver>                                                                                                                                                                                                                           
    </opt2>                                                                                                                                                                                                                                                    
    <opt3>                                                                                                                                                                                                                                                     
      <ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>                                                                                                                                                                                                      
      <numberoptions/>                                                                                                                                                                                                                                         
      <range>                                                                                                                                                                                                                                                  
        <from>10.10.40.10</from>                                                                                                                                                                                                                               
        <to>10.10.40.240</to>                                                                                                                                                                                                                                  
      </range>                                                                                                                                                                                                                                                 
      <dnsserver>10.10.10.11</dnsserver>                                                                                                                                                                                                                       
      <dnsserver>10.10.10.12</dnsserver>                                                                                                                                                                                                                       
    </opt3>                                                                                                                                                                                                                                                    
    <opt5>                                                                                                                                                                                                                                                     
      <ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>                                                                                                                                                                                                      
      <numberoptions>                                                                                                                                                                                                                                          
        <item/>                                                                                                                                                                                                                                                
      </numberoptions>                                                                                                                                                                                                                                         
      <range>                                                                                                                                                                                                                                                  
        <from>172.16.6.200</from>                                                                                                                                                                                                                              
        <to>172.16.6.250</to>                                                                                                                                                                                                                                  
      </range>                                                                                                                                                                                                                                                 
      <winsserver/>                                                                                                                                                                                                                                            
      <dnsserver/>                                                                                                                                                                                                                                             
      <ntpserver/>                                                                                                                                                                                                                                             
    </opt5>                                                                                                                                                                                                                                                    
  </dhcpd>

That opt2 config with the enabled dhcp entry is from an old removed interface. So apparently removing an interface does not remove the dhcp entry and after that you can't remove the matching dhcp entry.
I tried working around the issue by enabling dhcp on another interface and then removing it again. Still the same entry remains.

I will now try downloading the config and editing it, as mentioned in the linked URL.

I think this is a bug. Is this a valid report or should I report it elsewhere?

Thanks
Han

18.7 Legacy Series / openvpn peer to peer ssl workaround

« on: January 15, 2019, 03:16:50 pm »

After hours of fiddling with a peer to peer SSL that did not work, whereas a peer to peer with shared key did work the following workaround:

Set the tunnel network to a /30

Let me explain: First I set the tunnel network to a /24, and then I noticed the IP on the client side of the tunnel was 10.3.0.6 and 5 and on the server side of the tunnel it was 10.3.0.1 and 2 and the route from the server to the client was pointed at 10.3.0.2.

So then I added the option topology30, which fixed the IP addresses, but no traffic was possible to the client.

After that I came up with a clever workaround, use a /30 for the tunnel network and disable the topology30 option. And... lo and behold... I got my SSL encrypted site to site working.

18.7 Legacy Series / vlans on VM, prepare for High Availability

« on: January 09, 2019, 12:32:45 pm »

Tutorials and FAQs / Freeipa LDAP authentication HOWTO.

« on: January 04, 2019, 01:30:39 pm »

We have a FreeIPA server for authentication and to allow group members of sysadmins and firewallobservers to access via LDAP I proceeded like this:

Import the FreeIPA CA if you didn’t already, it’s probaby on your worstation over here:/etc/ipa/ca.crt
Create a user in Freeipa: opnsense, with a strong password
Create a group firewallobservers and add the right users to this group, I already had a sysadmin group.
In opensense: System → Access → Add a server like in the screenshot, always use the full LDAP account names, with the FQDN.

In the extended query you can decide which groups have access to the firewall: Since it’s hard to read:

|(memberof=cn=systemadministration,cn=groups,cn=accounts,dc=example,dc=com)(memberof=cn=firewallobservers,cn=groups,cn=accounts,dc=example,dc=com)

After that you can go to testers and check if everything works. If that works you can go to users and press the cloud button at the right to import the FreeIPA users. Add them to the right groups and Bob’s your uncle.

If there is anything unclear, please let me know and I’ll improve this How-to.

Pages: [1]