Topics

1

German - Deutsch / Sync von Aliassen auf mehreren OPNsense

« on: October 21, 2024, 02:01:25 pm »

Hallo zusammen


ich habe hier insgesamt 4 OPNsense am laufen.
 - FW Extern Master
 - FW Extern Slave
 - FW Intern Master
 - FW Intern Slave


Ein Master bildet mit einem Slave ein "Cluster".


Nun möchte ich gerne bei beiden Mastern die Aliase vereinigen.


Meine einzige Idee bisher ist dies über ein externes Script und über die API abzubilden.

Hat jemand noch eine andere Idee?
Oder stand evtl. jemand bereits vor dem gleichen Problem und hat schon eine Lösung?


Alles zusammen zu einem Cluster zu legen ist leider keine Option.


Danke und Gruß

2

German - Deutsch / Übersicht der Regeln behalten?

« on: May 29, 2024, 08:11:41 pm »

Hallo zusammen

ich verwalte inzwischen ein Netzwerk mit 30+ Netzbereichen. Clients, Server, Drucker, mehrere Produktionsbereiche und viele kleinere Bereiche.

So langsam bin ich an meiner Grenze der Übersichtlichkeit angekommen. Und das bei ~90 Regeln pro Interface.
Ich hatte mal eine Firewall im Einsatz (weiß den Namen leider nicht mehr) bei welcher ich aufklappbare "Bereiche" (mit freier Namenswahl) machen konnte.
So gab es einen Bereich mit "Clients -> Server".
Einen weiteren Bereich mit "Clients -> Drucker" und so weiter...

Wie macht ihr das wenn ihr bei viele Regeln die Übersicht behalten möchtet? Über kurz oder lang vermute ich, dass ich bei mindestens 300+ Regeln in manchen Interfaces landen werde.
Nutzt ihr die Kategorisierung? Nach was Kategorisiert ihr?

Was ich aktuell mache:
Ich "denke" mir auch solche Blöcke und sortiere die Regeln entsprechend.
So geht erst ein Block mit "Clients zu Server" los. Dann "Clients zu Drucker" etc....
Diesen Block zu erkennen ist meistens relativ schwer und manchmal eine Kunst für sich.
Vor allem wenn man wie ich oder Kollegen nicht täglich damit arbeiten.


Daher die Frage ob es hier andere Ideen gibt auf die ich bisher nicht gekommen bin

Danke!

3

German - Deutsch / Wireguard / Mehrere Site-to-Side Verbindungen

« on: April 26, 2024, 04:55:17 pm »

Hallo


wie sieht es eigentlich aus wenn man mehrere Wireguard Site-to-Side Verbindungen aufbauen möchte?
Reicht hier eine Instanz mit mehreren Peers?
Oder muss man für jede Verbindung eine extra Instanz anlegen?


Gibt es hierfür ein Best Practice?


Danke und Gruß

4

German - Deutsch / Schlagartig kein Routing mehr?

« on: March 13, 2024, 08:59:02 am »

Hallo zusammen


ich habe hier ein Cluster laufen bei welchem die Master FW sporadisch (alle Tage mal) kein Routing mehr zulässt.
Internet etc. hinter der FW ist alles stabil. Habe sogar 2 WAN Leitungen dran.


Ich selbst komme auf die Weboberfläche, sehe keine ungewöhnlichen Ausschläge oder sonstiges.
Ich schalte dann das CARP händisch auf die Backup um. (Temp. Disable CARP)
Danach funktioniert wieder alles wie gewohnt. Habe testweise auch schon tagelang die Backup FW als CARP Master laufen lassen.
Hier gab es keine Ausfälle.

Hat jemand eine Idee woran das liegen könnte?


Danke und Gruß

5

German - Deutsch / PPPoE mit Hochverfügbaren FW

« on: January 09, 2024, 10:00:30 am »

Hallo

ich habe ein Hochverfügbares FW Cluster bei welchem eine WAN Schnittstelle via PPPoE  angeschlossen ist.
Dies funktioniert auch problemlos. Ich kann händisch aussuchen welche FW sich damit verbinden soll.
Nun gibt es unter "System: High Availability: Settings" ja die Einstellung mit "Disconnect dialup interfacces".
Leider funktioniert dies bei mir nicht anständig.

Ich habe bei beiden Firewalls unter Interfaces: [Telekom] die PPPoE Daten "Username" und "Password" eingegeben. Kann die Verbindung über "Interfaces: Overview" auch entsprechend herstellen und trennen.

Im Hilfetext von "Disconnect dialup interfacces" steht:
When this device is configured as CARP backup it will disconnect all PPP type interfaces and try to reconnect them when becoming master again.

Nur welches CARP ist hier gemeint? Muss ich für die Telekom IP ein weiteres CARP anlegen?
Dann muss ich (vermutlich) in den Interface Einstellungen einstellen, dass keine automatische IP über PPPoE gezogen wird? Falls ja: Wie mache ich das?

Auf den FWs laufen bereits 5 Weitere CARP Interfaces. Natürlich auf anderen Netzwerkadaptern und keines auf dem Telekom Interface.

Alle sind auf Master Status. Trotz allem ist die Leitung immer auf der Backup FW aktiv.
Ich glaube die Backup FW macht keinen Disconnect wenn alle CARP Interface auf "Backup" stehen.


Vielleicht bekomme ich hier den passenden Tipp damit es so funktioniert wie es sollte.

Danke schonmals

6

German - Deutsch / Keine CARP Pakete in Live Log?

« on: September 04, 2023, 01:46:51 pm »

Hallo


mir ist aufgefallen, dass ich keinerlei CARP Pakete im Live Log der Firewall entdecke.
Wenn ich ein Packet Capture auf dem (beispielsweise) Interface opt5 durchführe so sehe ich jede Sekunde einen CARP/VRRP Eintrag:



x.y.90.11 ist die Firewall selbst


Wenn ich allerdings über die Live Log gehe sehe ich nur tcp,udp,icmp,esp. Mehr sind mir aktuell nicht aufgefallen.


Wird dies irgendwo vorher bereits herausgefiltert?


Danke und Gruß

7

German - Deutsch / /var/log/filter/xyz.log Labelname

« on: September 01, 2023, 10:06:59 am »

Hallo

Ich habe auf GitHub den aufbau der Filterlogs entdeckt.
ports/opnsense/filterlog/files/description.txt at master · opnsense/ports (github.com)

Hier gibt es ja das Feld "label". Sollte dies dann der Regelname sein?
Wenn ich in meine Log Datei schaue so steht dort leider nichts drin.

Beispielzeile:

Code: [Select]

<134>1 2023-08-31T23:59:59+02:00 OPNsense1.domain.intern filterlog 44229 - [meta sequenceId="732913"] 73,,,fae559338f65e11c53669fc3642c93c2,vtnet2,match,pass,out,4,0x0,,63,2556,0,DF,17,udp,64,10.10.10.219,10.10.20.108,54268,53,44
Unter Label würde hier ja "fae559338f65e11c53669fc3642c93c2" stehen. Gibt es alternativ eine Möglichkeit dies "aufzulösen"?

Was genau habe ich vor:
Ich würde die Logs gerne in eine SQL Datenbank oder ähnliches werfen um diese etwas besser auswerten zu können.
Das Projekt von Frabianfrz kenne ich bereits. Bringt mich leider auch nicht so ganz an mein Ziel.
Excel macht ja nur bis 1 Mio. Zeilen mit. Da bin ich locker drüber.




Gibt es ansonsten ganz alternativ ein Programm dem ich die Filter.log füttere und diese ausgewertet zurückbekomme oder so?

8

German - Deutsch / DHCPv4 -> Leases lädt ewig

« on: August 23, 2023, 03:00:02 pm »

Hallo


ist sonst schon jemandem aufgefallen, dass seit die DHCP Leases mit dem neuen Interface angezeigt werden ewig bis gar nicht laden?

9

German - Deutsch / OpenVPN Client Specific Overrides mit neuen Instanzen / Wie feste IP zuweisen?

« on: August 10, 2023, 11:49:42 am »

Hallo


ich habe eben einen OpenVPN Server in der neuen Ansicht erstellt und versuche nun einem Client eine feste IP zuzuweisen. Leider kann ich unter "Client Specific Overrides" nicht den neuen Server auswählen sondern nur die alten (aus dem alten "VPN -> OpenVPN -> Servers").


Wie kann ich einem Client eine neue fixe IP zuweisen wenn ich die "Instances" GUI benutze?


Danke und Gruß

10

German - Deutsch / HA Setup / Backup FW bekommt ARP Eintrag?

« on: April 26, 2023, 06:40:59 pm »

Hallo zusammen


vielleicht kann sich von euch jemand einen Reim auf folgende Situation machen:
Ich habe 2 OPNsense Firewalls im Einsatz als HA Setup.
Habe dies bereits seit einigen Monaten in der Konstellation laufen. Es wurden die CARP IPs sauber ausgehandelt und so weiter.
Die HauptFW war immer Master und der Slave immer Backup.
Die HauptFW ist virtualisiert (ProxMox), die Backup ist auf Blech. Eigentlich ist geplant die FW komplett aufs Blech zu bekommen... Bei 24/7 Betrieb und vielen Projekten musste dies bisher hinten anstehen.
Da die Interfaces auf Hardwareebene nicht gleich heißen brechen die TCP Streams unter anderem ab. Dies ist bewusst sollte aber auch nichts ausmachen.


Nun zu meinem Problem:
Seit einigen Tagen habe ich nun jedoch das Problem, dass auf dem CoreSwitch die ARP Tabelle sagt, dass die CARP LAN Adresse zur BackupFW gehört und nicht wie bisher der HauptFW. Hierdurch klappt dann natürlich das Routing nicht sauber und ich habe keinen Zugriff ins Internet bzw auf das was durch die FW geht.
Es wurde nichts an der Netzwerkkonstellation geändert. Keine Switch Änderung, nichts an der FW verstellt oder ähnliches.
Die BackupFW sagt weiterhin, dass die CARP IPs im Backup Status sind.


Habe nun vorrübergehend die BackupFW ausgeschalten. Zwar nicht schön aber erstmal funktionabel bis ich eine Idee habe wie ich den Fehler eingrenzen könnte...



Jemand eine Idee zu dem Thema?

11

German - Deutsch / OpenVPN Performance ungenügend

« on: February 15, 2023, 03:14:49 pm »

Hallo zusammen
ich bin aktuell etwas am verzweifeln was die OpenVPN Performance angeht.

Bissel Grundinfo:
Server:
Internet -> Down:200 Mbit/s  und  Up:200 Mbit/s

Lenovo ThinkSystem SR630Auf Blech installiert.
Intel Xeon Silver 4210R @ 2.40GHz - 3,20 GHz (10 cores, 20 threads)
32 GB RAM
SSD Storage


Client[size=78%]:[/size]
Internet -> Down:400 Mbit/s  und  Up:12 Mbit/s

Windows 11
Intel i7-1260P
16 GB RAM
SSD


Allgemeines:

Ich kann via SFTP die vollen 200 Mbits ausschöpfen.
Alle Geräte sind via 1 Gbit Kupfer angeschlossen.
Es sollte eine TCP Verbindung sein und keine UDP.
Ja ich weiß, die 20 Threads bringen nicht viel. Aber die Hardware war halt eben einfach da.


OpenVPN Server:
Protocol: TCP
TLS Authentication: Enabled - Authentication & encryption
Encryption algorithm: AES-256-CBC
Auth Digest Algorithm: SHA256
Compression: No Preference
Advanced: keepalive 10 60





Ich bin bereits eine ganze Weile am herumprobieren wie ich die maximale Performance via OpenVPN heraushole. Leider ist das Ende der Fahnenstange immer bei ~50-60 Mbit/s.
Ich habe auch bereits so Späße wie ohne TLS Authentication, Encryption algorithm und Auth Digest Algorithm getestet. Auch hier bin ich bei ~50-60 Mbit.


Hat jemand eine Idee warum dem so ist?
Irgendwelche geheimen Tricks um die Performance anzuheben?
Bin auch gerne bereits bissel Lesestoff zu bekommen 


Danke und Viele Grüße

12

German - Deutsch / FW Starten ohne das er CARP Master wird

« on: January 24, 2023, 05:11:44 pm »

Hallo zusammen


gibt es eine Möglichkeit die FW so zu starten das sie nicht direkt versucht CARP Master zu werden?
Ich kenne die Möglichkeit "Disable preempt" unter "System: High Availability: Settings" aber gibt es solchetwas auch als Tastenkombination?

Oder kann man das "Disable preempt" auch via CLI aktivieren?

Danke und Gruß

13

German - Deutsch / OpenVPN S2S Verbindung

« on: July 31, 2022, 01:05:59 pm »

Hallo


stehe hier vor einem Merkwürdigem Problem und weiß nicht mehr so ganz weiter...


Habe hier 2 Standorte mit jeweils 2 Firewalls. Diese sind jeweils hochverfügbar konfiguriert.

Standort 1 ist als OpenVPN Server konfiguriert. IP Adresse ist eine CARP Adresse.
Standort 2 ist als OpenVPN Client konfiguriert.


Ich habe eine Site-2-Site VPN Verbindung mithilfe von OpenVPN aufgebaut. Diese ist im Normalfall stabil und ohne Probleme.


Fahre ich nun an Standort 1 die Master-OPNsense herunter, so geht natürlich auch der OVPN Tunnel down. Der Slave am Standort 1 wird zum Master und die Tunnel starten neu und alles funktioniert wieder.


Wird nun die eigentliche Master FW erneut gestartet, bootet diese, erhält die CARP Adressen aber die OVPN Tunnel kommen nicht so recht zueinander. In der log der ClientFW sehe ich folgende Einträge:

Code: [Select]


<27>1 2022-07-31T12:57:30+02:00 OPNsense1.standort2 openvpn 19200 - [meta sequenceId="244"] Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #184 / time = (1659264564) 2022-07-31 12:49:24 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings


Erst wenn ich am Standort1 die Slave FW herunterfahre / neustarte klappt alles wieder reibungslos.
Es ist als würde die ClientFW nicht mitbekommen, dass der Server nun woanders läuft(?)
Ich habe schon versucht mithilfe von keepalive Settings dies abzufangen, leider kappt dies nicht oder ich bin zu blöd dafür.

Kann mir jemand sagen warum dem so ist und was man dagegen machen kann?

Danke und Gruß

14

German - Deutsch / IPSec Logging

« on: April 12, 2022, 10:07:04 am »

Hallo zusammen

habe ein Problem mit meiner IPSec Verbindung und weiß mir irgendwie nicht zu helfen...
Die Verbindung steht und das wohl auch stabil (zumindest beklagt sich keiner).
Jedoch wird jeden Tag eine Log Datei mit mehr als 250 MB erstellt.
Leider kann ich nichts aus der Log herausfinden warum wieso weshalb dies so ist... Vielleicht hat von euch einer eine passende Idee?

Im Anhang ist ein kleiner Auszug der Log Datei.
Ich bin 198.51.100.194 und die andere Firewall ist 203.0.113.154
Leider habe ich keinen "direkten" Zugriff auf die andere FW um diese zu konfigurieren da hier ein (kleines) Systemhaus dahinter steht mit denen man jedoch wirklich gut reden kann

Daten zur VPN Verbindung:
Phase1:

Code: [Select]

General information:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: 198.51.100.194 (Virtual IP WAN)
Remote gateway: 203.0.113.154
Dynamic gateway: deaktiviert

Phase 1 proposal (Authentification)
Authentication method: Mutual PSK
My identifier: IP address -> 198.51.100.194
Peer identifier: IP address -> 203.0.113.154
Pre-Shared Key: *******

Phase 1 proposal (Algorithms)
Encryption algorithm: AES128
Hash algorithm: SHA256
DH key group: 14 (2048 bits)
Lifetime: 3600

Advanced Options
Install policy: Aktiviert
NAT Traversal: Disable
Close Action: None
Dead Peer Detection: 10    5    Restart the tunnel

Phase2:

Code: [Select]

General information:
Mode: Tunnel IPv4

Local Network:
Type: Network
Address: 10.46.20.232/29

Remote Network:
Type: Network
Address: 192.168.190.0/24

Phase 2 proposal (SA/Key Exchange)
Protocol: ESP
Encryption algorithms: AES128
Hash algorithms: SHA256
PFS key group: 14
Lifetime: 3600


15

German - Deutsch / INFO: Speicherverbrauch durch Logs

« on: February 24, 2022, 08:55:08 am »

Hallo zusammen


Im Falle es haben nicht alle bemerkt:
Mit dem Update auf OPNsense 22.1 hat sich das Logging der Dateien verändert. Hierdurch kann es zu erhöhtem Speicherverbrauch kommen da die (nun rotierenden) Logs Standardmäßig 31 Tage aufbewahrt werden.
Die Tage der Aufbewahrung kann unter "System -> Settings -> Logging" eingestellt werden.

Bei meinen Tests konnte der Wert im laufenden Betrieb geändert werden und nach einiger Zeit (unter einer Stunde) wurden auch die Logs entsprechend Bereinigt.