Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - astromeier

Pages: [1] 2

22.1 Legacy Series / Statistic counters "Firewall: Diagnostics: Aliases" - when are they reset?

« on: January 31, 2022, 09:52:36 pm »

Hi all,
anybody knows when these statistics counters are reset?
Daily - by event - any other trigger?
Since V17.x I tried to get an answer and could not reproduce the reset cause of these counters....

Please enlighten me

German - Deutsch / Kein "Packet Loss" wenn Kabel-Modem gestört - Docsis beantwortet Pings...

« on: December 25, 2021, 10:38:41 pm »

Hallo allerseits!
Unter "Reporting / Health / Quality" sehe ich ab und zu Packet Loss (meist unter 1%) auf den WAN-Seite, wenn das Kabelmodem mit dem Provider verbunden ist - soweit alles ok.

Gestern war das Kabel aber komplett tot und ich erwartete 100% Packet Loss im Diagramm während dieser Zeit.
Aber es wurde nur in den ersten ca. 30min 100% Loss angezeigt...

Im Log "System / General" tauchen anfangs Time-Outs auf, aber auch kein weiterer Hinweis auf die Störung...

Nach ca. 30 Minuten bekam die Sense dann aber ein DHCPACK from 192.168.100.1, dem Docsis-Interface des Modems.
Dieses antwortete scheinbar auf die Pings der Sense und diese sah dann keinen Loss mehr...
Warum das so ist weiss ich nicht, in der Modem-Konfiguration kann ich nichts einstellen.

Gibt es eine Möglichkeit, dass die Sense nicht auf das Modem herein fällt und die Internet-Verbindung anders prüft?
Vielleicht eine feste Adresse für die Pings?

Oder sehe ich einfach die Bedeutung Health / Quality falsch, wenn ich da auch eine bestehende Online-Verbindung hineininterpretiere?

PS:
In der Konfiguration der WAN-Schnittstelle hab ich als Option Modifier "supersede dhcp-server-identifier 255.255.255.255" eingetragen. (dass der dhclient das Log nicht zuspammt, siehe https://forum.opnsense.org/index.php?topic=18891.0)

Im gateway.log bringt dpinger diese Meldungen: WAN_DHCP ip-nr: sendto error: 64 und 65 (host down und no route to host) und ab und zu einen Gateway Alarm

21.1 Legacy Series / Possible error in acme.sh - actual github-version is working

« on: June 11, 2021, 10:56:27 pm »

Hi all!
Since Wednesday I noticed errors while re-issuing my LE-certificates.
My configuration worked for years now - so I searched for the reason.
The error messages were:
"type": "urn:ietf:params:acme:error:orderNotReady", "detail": "Order's status (\"invalid\") is not acceptable for finalization", "status": 403
and
Sign failed, finalize code is not 200

Googling around led me to the git repo of acme.sh where a new version was available.

I replaced the file (date 2021-05-26) with the new version and now the re-issuing is working...

EDIT:
Updated whitelist

21.1 Legacy Series / HAProxy plugin / File based Log (non-Circular)

« on: March 30, 2021, 09:51:22 pm »

As mentioned in some earlier posts from different members there is an unsolved issue with HaProxy logs when using the new non circular file based local logging starting with V20.7.
When using non circular logs HaProxy only logs start infos but no more actions.
Is there any solution ?

21.1 Legacy Series / Correct way to change from circular logs to regular files?

« on: March 01, 2021, 07:56:06 pm »

Hi!
I recently upgraded to 21.1 and a new Qotom Hardware. The migration was flawless and after some days I wanted to switch from circular logging to the advised single file logging. The logs are stored local at opnsense system.

In "System: Settings: Logging" I checked "Disable circular logs", saved the change and the pushed "Reset Log Files" Button.
After some hours I saw that at least the HAProxy-, WebGUI- and Firmware-Logs are inactive now.
The NTP- and HAProxy log showed some entrys from service-startup bot no more ...
System backend and general logs, firewall log and so on are working.
A newly issued log file reset, services restart and reboot did not help.

Switching back to circular logs brougt all logging back....

Disabling circular logging again and the logs are empty....

What is wrong?

German - Deutsch / [work-around] HAProxy Gui Log Suche mit PCRE-Regex (Look-Ahead)

« on: January 30, 2021, 10:11:18 pm »

Hallo allerseits!
Ich suche nach einer Möglichkeit, im Log des HAProxy die privaten IPs auszufiltern.
Leider kann man ja nicht angeben, dass HAProxy den privaten Bereich nicht loggt....

Ich habe im UI im Suchfeld diese PCRE-Regex eingegeben:

Code: [Select]

(?!(10\.|172\.(1[6-9]|2[0-9]|3[0-1])\.|192\.168))Leider findet die Suche nichts...
Auf der Seite https://www.regextester.com/ funktioniert die Regex...

Kann die HAProxy-suche kein LookAhead?

Tutorials and FAQs / Solved: dhclient spams system log with DHCPREQUEST on ... to ... port 6x

« on: August 30, 2020, 09:11:42 am »

Hi all!
If you see at System - Log Files -General a lot of lines like
DHCPREQUEST on [WAN-Interface] to [IP other than 255.255.255.255] port 67 (or 68)
the solution could be:
Add this line at Interfaces - WAN : Option Modifiers (last line)

supersede dhcp-server-identifier 255.255.255.255

In my case the dhclient tries to fetch the cable modem's external IP from my provider with his last known private IP address - which fails. After several tries it releases a broadcast at 255.255.255.255 wich finally succeeds.
To supersede this behavior seems to be the solution...

20.7 Legacy Series / missing DNS Lookup in Firewall: Log Files: Overview:Source_IPs

« on: August 12, 2020, 10:11:52 am »

Hi all,
In former Versions I often used the DNS Lookup in Firewall: Log Files: Overview:Source_IPs which disappeared in V 20.7.

Is there a chance to get this function back?

German - Deutsch / Script triggern wenn externe WAN IP sich ändert

« on: June 06, 2020, 10:13:56 pm »

Hallo allerseits!
Ich suche eine Möglichkeit (ähnlich dem Service Dyn DNS) ein eigenes Script zu triggern, wenn sich die externe WAN IP ändert.
Hintergrund:
Ich habe bei Lima-City eine Domain mit Mail, deren A-Record auf meine IP zeigt. Wenn diese sich ändert, soll das Script eine API bei Lima-City aufrufen und die neue IP setzen.
Das Script:

Code: [Select]

#!/bin/bash
ip=$(curl -s http://whatismyip.akamai.com/)
data={\"nameserver_record\":{\"name\":\"MeineDomain.de\",\"type\":\"A\",\"ttl\":\"1000\",\"content\":\"$ip\"}}
curl -X PATCH --header 'Content-Type: application/json' --header 'Accept: application/json' -u api:API-KEY --url https://www.lima-city.de/usercp/domains/Domain-ID/records/Record-ID -d $data

# response: {"status":"ok"}

Unter Services/Monit hab ich nichts passendes gefunden und das script per cron dauerfeuern lassen möchte ich nicht.

Und mit dem Service Plugin "newwanip" steigt ich noch nicht durch...

Hat jemand eine Idee oder einen Hinweis?
Dank vorab!

Tutorials and FAQs / LetsEncrypt - Whitelist

« on: March 02, 2020, 10:56:53 pm »

The actual version you will find here:
https://raw.githubusercontent.com/astromeier/LetsEncrypt_Serverlist/main/LetsEncrypt_Server_list.txt
You can add an alias "URL table (IPs)" with this link.

The FQDN-List you'll find here:
https://raw.githubusercontent.com/astromeier/LetsEncrypt_Serverlist/main/LetsEncrypt_FQDN_list.txt

After having Problems with renewals of certificates I introduced this IP-Whitelist for LetsEncrypt Servers:
172.65.32.248 (Cloudflare)
18.194.58.132 (Amazon Cloud & A100 ROW GmbH , maybe FALSE)
18.224.20.83 (Amazon Cloud)
3.14.255.131 (Amazon Cloud)
34.209.232.166 (Amazon Cloud)
34.211.60.134 (Amazon Cloud)
52.15.254.228 (Amazon Cloud)
52.28.236.88 (Amazon Cloud & A100 ROW GmbH , maybe FALSE)
52.58.118.98 (Amazon Cloud)
64.78.149.164 (outbound2.letsencrypt.org )
66.133.109.36 (outbound1.letsencrypt.org )

The IPs from cloud services can change over time...

If you have IPs to add feel free....

German - Deutsch / [solved] plötzliche Probleme mit Erneuerung von LetsEncrypt Zertifikaten

« on: March 02, 2020, 10:41:11 pm »

Hallo allerseits!
Seit zwei Tagen hatte ich Probleme mit der Erneuerung von LetsEncrypt Zertifikaten - Hinweise auf FireWall-Probleme im gabs im Log:

Problem war scheinbar meine EU-Blocklist von MaxMind.

Ja - stimmt: Ich habe sie ziemlich zugenagelt (nur westliche EU-Länder)- aber ich mags halt so.
Maxmind hat wohl die Blocklist um ein paar IP ergänzt ;-)

Ich habe nun diese IPs auf der WhiteList und damit klappts wieder:
(Alias LE_Server_Whitelist)
172.65.32.248
18.194.58.132
18.224.20.83
3.14.255.131
34.209.232.166
34.211.60.134
52.15.254.228
52.28.236.88
52.58.118.98
64.78.149.164
66.133.109.36

German - Deutsch / Firewall: Diagnostics: pfTables - In den Listen fehlt ein Eintrag

« on: February 25, 2020, 08:59:21 pm »

Ist das nur ein Schönheitsfehler der GUI oder steckt mehr dahinter?
In den pfTables Listen fehlt immer ein Eintrag: z.B. von 5 Einträgen im Alias
werden nur 4 gelistet - aber unter der Liste steht:
"Showing 1 to 5 of 5 entries" (= Lüge)
Es ist auch nicht immer der erste oder letzte in den Aliaseinträgen....

Noch was: Durch Anklicken der Spaltenüberschriften (packets, bytes etc) sollten die Einträge sortiert
werden - was auch nicht tut.

Das hatte ich schon in den 19er Versionen und nun auch in der aktuellen 20er.

Ist das bei Euch auch so?

Grüße
Thomas

20.1 Legacy Series / Midnight Commander missing?

« on: February 14, 2020, 12:08:25 pm »

Hi all
today I updated to V20.1 with a fresh install - all went good!
Thanks to all developers.

But I could not find mc or mc-light
Is the package no more supported?

tia
Thomas

German - Deutsch / Netzwerkkonzept ok?

« on: May 10, 2019, 09:05:25 pm »

Hallo allerseits!
Nachdem meine Sense super läuft und alles Böse wegsenst würde ich gerne mein Heimnetz auf LAN und OPT1 aufteilen.
Im Netzwerk werkelt im Moment ein Server mit folgenden Diensten:

NAS für Intranet mit SMB und NFS
HTTP und SSH für Intranet
Bridge für mehrere KVMs, die Cloud- und Webserverdienste für das öffentliche Internet beherbergen

Das alles läuft derzeit in einem einzigen internen Netz 192.168.1.0 über die LAN-Schnittstelle der Sense.
Die beiden NIC des Servers sind aktiv und über einen Switch mit LAN der Sense verbunden.
Die HTTP-Server der KVMs werden in der Sense per HaProxy und HTTPS-offloading bedient.

Das scheint mir etwas unsicher zu sein, da der Internet-Traffic und das Intranet im gleichen Subnet abgewickelt wird.

Nun würde ich gerne über die OPT1 Schnittstelle per Subnet-1 10.20.30.0 direkt an die erste NIC des Servers gehen und diese ausschliesslich an die Bridge für die KVMs binden. Für alle Dienste auf dem Server soll sie taub sein.

Über die zweite NIC des Servers würde ich gerne per Subnet-2 192.168.1.0 nur die Intranetdienste wie SSH und NAS laufen lassen und für den Server noch eine Internetverbindung für Updates. Sonst soll der Server für dieses SN2 vom Internet her nicht erreichbar sein.

Das Subnet-2 wird dann per Switch auf PCs und WLAN-APs verteilt.

Eine Skizze:

Code: [Select]

      +OPNsense+       +Switch-+
Cable |     LAN+---SN2-+       +--Intranet/PCs/Wifi-AP
Modem-+WAN     |       +-+-+-+-+
      |    OPT1+-+           |    +--Server------+
      +--------+ |           +----+NAS4Intranet  |
                 |                |              |
                 +-SN1------------+VMbridgeHTTP  |
                                  +--------------+

Was meint Ihr - würde dieses Konzept mehr Sicherheit bringen?

Tutorials and FAQs / HowTo - LNAV installation (Ncurses Log Viewer)

« on: April 05, 2019, 04:01:30 pm »

Dear all!
The GUI gives great views to the log files, but not the shell. (@OPNsense V19.1.4)

I missed my beloved LNAV (lnav.org) - at freeBSD a port exists, but that wasn't installable via the OPNsense repo.

But i found my way:
Logged in as root:

Code: [Select]

cd ~
wget http://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/lnav-0.8.4.txz
pkg add lnav-0.8.4.txz

I'm happy ;-)

Pages: [1] 2