Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - lfirewall1243

Pages: [1] 2 3 ... 5

24.7 Production Series / HAProxy no SNI

« on: November 05, 2024, 07:45:00 pm »

Hello everyone,

at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.

So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).

I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.

All Updates are installed.

Maybe anyone has an idea.

German - Deutsch / HA Setup Physical Virtual

« on: December 16, 2022, 08:47:39 am »

Hallo zusammen,

ich habe aktuell den gedanken mir ein HA Setup aus einer Hardware OPNsense und einer VM zu bauen.
Hier und da liest man immer, dass die Interfaces gleich heißen sollten. Nun heißen die der Hardware OPNsense aber em0, em1,... und die der VM virt0, virt1,... .

Das sollte ja zu einem Problem werden.

Jedoch ist mir unter Schnitstellen -> Zuweisung aufgefallen, dass es eine Interface ID gibt, diese kann ich ja frei bearbeiten.
Heißen dort also sowohl in der Hardware als auch in der VM die Schnitstellen opt1, opt2,... dürfte es doch kein großes Problem geben?
Laut dem Infofeld bezieht sich HA ja auf diese ID und nicht auf em0, virt0?

Danke schon mal

22.1 Legacy Series / HAProxy no new certificates shows

« on: April 12, 2022, 10:55:48 am »

Hello,

seems that HAProxy is not reading out any new LetsEncrypt or ZeroSSL certificates.
They arent shown in the certificate list at the frontend config.

German - Deutsch / IDS/IPS Blockieren greift nicht

« on: April 07, 2022, 08:37:29 am »

Hallo zusammen,

ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.

Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der Aktion "allowed" auf.

Habe ich da noch was übersehen?

Danke euch

German - Deutsch / [GELÖST] FreeRadius Zertifikatsfehler für WLAN

« on: November 29, 2021, 11:12:20 am »

Hallo zusammen,

ich bin aktuell dabei eine WLAN Enterprise Authentifizierung mit dem FreeRadius der OPNsense aufzusetzen.
Dabei habe ich ein LetsEncrypt Zertifikat erstellt und dies im Radius hinterlegt.

Die Verbindung von Windows Clients klappt auch, jedoch bekomme ich keine Verbindung mit einem Android 12 Handy hin, da taucht im Radius immer folgender Error auf:

Code: [Select]

eap_peap: ERROR: (TLS) Alert read:fatal:certificate expired
Hat jemand ne Idee wo ich da suchen soll?

German - Deutsch / NTP startet unter 21.7.3_3-amd64 nicht

« on: October 18, 2021, 03:02:55 pm »

Guten Tag zusammen,

ich habe aktuell einige OPNsense Systeme auf 21.7.3_3-amd64 geupdated. Seit dem läuft bei allen Systemen der NTP Dienst nicht mehr.

Im Log findet man nur

Code: [Select]

2021-10-18T14:52:27	ntpd[32598]	daemon child exited with code 1	 
2021-10-18T14:52:27	ntpd[47114]	unable to bind to wildcard address :: - another process may be running - EXITING

German - Deutsch / OpenVPN MultiWAN Umgebung

« on: August 31, 2021, 09:24:56 am »

Hallo zusammen,

folgendes Szenario habe ich hier.

OPNsense mit 2 WAN Verbindungen, auf der OPNsense läuft ein OpenVPN Server.
Es ist kein Failover o.ä. konfiguriert.

WAN1(default GW) WAN2
| |
| |
| |
|------OPNsense-----|

Nun kann ich über WAN1 die VPN Verbindung aufbauen, das klappt alles. Wenn ich WAN2 als default GW hinterlege, kann ich diese auch über WAN2 aufbauen.

Nun möchte ich mich aber über WAN2 verbinden können, während WAN1 das default GW ist.
Dazu habe ich bereits den Haken bei "deaktivere Antwort-an bei WAN Regeln" gesetzt, aber leider ohne Erfolg.
Muss man dazu noch etwas umkonfigurieren?

Virtual private networks / What is more secure

« on: June 08, 2021, 10:52:26 am »

For a S2S OpenVPN setup.
Should I use SHA3-512 or SHAKE256? or better RSA-SHA...?

What do you think is the better one?

German - Deutsch / WireGuard baut keine Verbindung auf

« on: April 26, 2021, 08:37:57 am »

Hallo zusammen,

aktuell versuche ich eine weitere Wireguard Verbindung hinzuzufügen (2 sind bereits Vorhanden)

Folgende Situation:

FW1:
- hat bereits 2 laufende Wireguard S2S
- keine öffentliche IP
- baut sozusagen die Verbindung zur "Server" Seite auf

FW2:
- hat bisher keine Wireguard Verbindung
- hat eine öffentliche IP
- wartet sozusagen auf die Verbindung

Habe ich nun die Wireguard configs auf beiden Seiten eingerichtet und aktivere auf FW2 das logging taucht dort nichts auf. Es scheint also so als würde FW1 keinen Verbindungsversuch startet, trotz gesetztem KeepAlive

Die Configuration ist vom Prinzip her gleich mit denen der 2 laufenden Verbindungen - somit finde ich es irgendwie komisch

Hat jemand eine Idee?

German - Deutsch / OPNsense UDP Probleme

« on: March 17, 2021, 11:46:20 am »

Hallo zusammen

ich habe 2 OPNsense miteinander Verbunden und möchte nun per RDP auf ein Geräte hinter der anderen OPNsense zugreifen
Gerät A nach B

Solange ich RDP über TCP laufen lasse klappt alles, bei UDP jedoch bricht die Verbindung ab und fängt sich nach kurzer Zeit wieder und läuft dann sauber weiter.
Jemand ne Idee?

Auf den ganzen Schnitstellen wird kein NAT gemacht.

Netzwerkplan:

172.16.0.2/24
172.16.0.1/24
+----------------------+
+--------------------+ | |
| | | |
| OPNsense A ------------------- OPNsense B |
| | | |
| | +-------------|--------+
+----|---------------+ | 192.168.2.1/24
192.168.1.1/24| |
| |
| |
| |
| |
\ |
| |
| |
| |
| |
| | 192.168.2.10/24
|192.168.1.10/24 +--|----+
+--|--+ | |
|PC A | | PC B |
| | | |
+-----+ +-------+

German - Deutsch / NAT Slipstreaming

« on: March 11, 2021, 07:16:51 pm »

Mal ne generelle Sicherheitsfrage:

Ist OPNsense betroffen ?
https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schlimmer-5078104.html

German - Deutsch / [GELÖST] Ungewöhnliches Routing Verhalten

« on: February 02, 2021, 12:22:09 pm »

Hallo zusammen,

ich bin aktuell dabei einen alten Router durch die OPNsense abzulösen

Der "Router ALT" soll ersetzt werden. Klappt auch soweit alles.

Allerdings habe ich für eine Archiv Software einen extra VPN Router im Netz, um diesen zu erreichen ist im bestehenden Router eine Route für das 80.80.80.80/32 an die 192.168.1.254/24 eingetragen.

Übernehme ich nun diese Einstellungen in die OPNsense und änder das Gateway des Clients auf die OPNsense bekomme ich in der Archiv Software einen "Socket Timeout". Ein tracert auf dem Client zeigt aber das gleiche Verhalten wie wenn ich den "Router ALT" benutze.
Erst an den Router/OPNsense danach an die 192.168.1.254

Als würde in der OPNsense das Routing komisch laufen, oder nicht für alle Pakete
Der Haken "Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle" ist bereits gesetzt.

Und hier einmal der Netzwerkplan

Code: [Select]

           +----------+   +------------+                                                                         
           |          |   |            |                                                                         
           | OPNsense |   | Router ALT |                                                                         
           |          |   |            |                                                                         
           +-----|----+   +--/---------+                                                                         
          192.168.1.10/24 192.168.1.1/24                                                                         
                 |         /                                                                                     
                 |        |                                                                                      
                 |        /                                                                                      
                 |       /                   +-----------+                                                       
                 |      /                    |           |                                                       
 Switch----------|-----|----------------------VPN Router |----------------- 80.80.80.80/32                       
      +----------|----------+                |Archiv     |                                                       
                 |                           +-----------+                                                       
                 |                         192.168.1.254/24                                                      
                 |                                                                                               
                 /                                                                                               
                |                                                                                                
                |                                                                                                
                |                                                                                                
                |                                                                                                
                |---------------+                                                                                
                |               |                                                                                
                |               |                                                                                
                |  Windows Cient|                                                                                
                |               |                                                                                
                |               |                                                                                
                +---------------+

21.1 Legacy Series / Can't change IDS Rules to drop

« on: January 31, 2021, 05:53:40 pm »

After the Upgrade I can't enable the IDS Rules for blocking
Before I could change it unter IDS->Download

But now there isn't a button to "enable drop" for the market rules

21.1 Legacy Series / Postfix Log broken

« on: January 31, 2021, 11:09:51 am »

Hi,

I upgraded some opnsense systems to 21.1 now. Everything went fine - thanks for that amazing work!

But after the upgrade my Postfix Log seems broken.
I can restart the service or send mails to Postfix but the log stays empty.

Does anyone has the same problem ?

Thanks:)

General Discussion / Securing ACME Port 80

« on: January 26, 2021, 04:29:21 pm »

Hello,

does anyone having a List of ACME IPs or Alias Names.
I dont want to open Port 80 to the world, just to the LetsEncrypt Servers

Pages: [1] 2 3 ... 5