Topics

1

German - Deutsch / Basic authentication und HAProxy

« on: February 22, 2024, 01:53:20 pm »

Hallo zusammen,
 
ich benutze HAProxy um für einige interne Websites TLS machen zu können.
Ich hab hier ein Gerät, das verlangt an seiner Website mittels basic authentication username und password.
Wenn ich die Website über HAProxy aufrufe bekomme ich den Anmeldedialog angezeigt aber nach dem Absenden erscheint der Anmeldedialog direkt wieder. Ich vermute irgendeine Option im HAProxy für diesen Server einstellen zu müssen. Hat jemand eine Idee was ich machen muss?

Danke & VG

2

General Discussion / Wireguard and NAT

« on: November 24, 2022, 07:35:36 am »

Hi all,

sorry for the general title of the topic but I'm not able to specify it.
My problem is as followed:

1x OPNsense Box
1x Openwrt Router

The Openwrt Router connects to the OPNsense box as a Wireguard client. At the Openwrt Router are more clients attached. I have disabled the masquarading for the Wireguard net on the openwrt router. I can access everything from one side to the other. But I have two problems with this setup:

1. The voip telefons / softphones on the Openwrt side does not work as intended. They ring and they connected to the sip registrar on the OPNsense side butwhen someone calls or they are called nobody hears the other.

2. There are a few road warrior clients on the same wireguard server. They can not ping or access anything in the openwrt side.

I think this is a NAT problem?

Maybe someone can point me in the right direction.

3

21.1 Legacy Series / Update not possible with HTTPS mirror.

« on: September 30, 2021, 09:00:47 pm »

Hi,

I'm usind OPNsense 21.9. When I try to update i get the following errors:

***GOT REQUEST TO CHECK FOR UPDATES***
Fetching changelog information, please wait... Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
6540779847680:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch: https://pkg.opnsense.org/FreeBSD:12:amd64/21.1/sets/changelog.txz.sig: Authentication error
Updating OPNsense repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.1/latest/meta.txz: Authentication error
repository OPNsense has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1763635204096:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.1/latest/packagesite.txz: Authentication error
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Ive tested a few HTTPS mirrors and I get on all the same SSL problem. When I try to use a http one, everything seems to be fine. Did someone know how to resolve this?

4

German - Deutsch / OPNsense vergisst WireGuard routen

« on: March 03, 2021, 12:34:01 pm »

Hallo zusammen,

ich habe hier ein wirklich merkwürdiges Problem. Ich habe auf meiner OPNsense zwei WireGuard Instanzen laufen. Die eine benutze ich von unterwegs mit diversen Geräten. Funktioniert 1a.

Die zweite Instanz bindet einen VPS als Client an. Jetzt kommt das merkwürdige:
Der VPS kann jederzeit beliebige Geräte im Netzwerk erreichen. Umgekehrt funktioniert es aber nur manchmal. Es kann sogar sein, dass ein Client aus dem internen Netz den VPS erreichen kann, ein anderer aber nicht. Im tcpdump auf dem VPS sehe ich auch nichts, wenn er nicht erreicht werden kann. Mir scheint das es ein Problem mit den routen gibt. Wenn ich ein traceroute von einem Client mache der den VPS erreicht wird im ersten Hop die Gateway Adresse der OPNsense angezeigt und im nächsten dann der VPS. Wenn ich das gleiche von einem Client mache der den VPS nicht erreicht wird auch als erster Hop die OPNsense angezeigt und danach läuft es sich tot oder er geht über ein falsches Gateway weiter.

Unter System -> Routes -> Status sehe ich auch eine Route zum Client. Ich verstehe nur nicht warum die anscheinend manchmal nicht genutzt wird.

Ich habe für die WireGuard instanz weder interface noch gateway angelegt. Müsste ich an dieser Stelle etwas tun? Wenn ja wie muss die konfiguration dafür aussehen?

Kann mir jemand einen Tipp geben wo ich weiter forschen soll?

5

Hardware and Performance / SYS-E300-9D-4CN8TP

« on: January 06, 2021, 09:14:23 am »

Hi all,

I'm looking for a new hardware for our OPNsense installation. I found a nice Supermicro Server and now I try to verify if the Hardware is supported. I'm talking about the SYS-E300-9D-4CN8TP. Here you can find a datasheet:

https://www.supermicro.com/en/products/system/Mini-ITX/SYS-E300-9D-4CN8TP.cfm

Did someone already use this an can confirm that everything works as expected? I really need the 10G connectivity which is my biggest concern about this.

Maybe there is even a better hardware out there? Can you recommend something?

6

German - Deutsch / Probleme beim erreichen eines entfernten Netzes - NAT?

« on: December 07, 2020, 03:11:27 pm »

Hallo,

ich habe ein Problem zu dessen Lösung ich einen Denkanstoss benötige. Ich habe ein LAN Netz auf meiner Opensense. Über eine IP
dieses Netzes ist es möglich ein weiteres Netz zu erreichen. Damit ich dieses Netz erreichen kann habe ich ein zuerst ein neues
Gateway angelegt welches das gleiche Interface benutzt wie das reguläre LAN. Als nächstes habe ich dann eine Route angelegt, die
das entfernte Netz über dieses Gateway erreichbar macht. Ich kann jetzt auch toll hin und her Pingen, das funktioniert super.
Ich kann auch aus meinem LAN auf jeden Port in das entfernte Netz zugreifen. Leider funktioniert das ganze aber nicht umgekehrt.
Wenn ich beispielsweise eine SSH Session aus dem entfernten Netz auf eine IP im internen Netz machen möchte bekomme ich eine Fehlermeldung
im Log zu sehen. Die Fehlermeldung hänge ich euch an. Falls ich SSH von meinem Netz in das entfernte Netz machen möchte funktioniert das
ohne Probleme. Ich vermute das hat irgendwas mit den NAT Einstellungen zu tun. Leider finde ich da aber keine Lösung.
Kann mir jemand einen Tipp geben?


Hier ein kleines Diagramm dazu.

Code: [Select]

      .-----+------. Gateway         .-----------------.
      |  OPNsense  +-----------------+ entferntes Netz |
      '-----+------'   192.168.10.1  '-----------------'
            |                         192.168.101.0/24
        LAN | 192.168.10.2/24 (.2 ist die IP der OPNSense)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


7

20.7 Legacy Series / Reach WireGuard client from server network

« on: December 04, 2020, 10:09:08 am »

Hi all,

I have a little problem with my WireGuard setup. All my clients are connected to my OPNsense Server and can access everything on the OPNsense side. I have one Debian client which I want to access from the OPNsense side.
Sadly I don't know how to archieve this. Basicly I want to use the VPN to "both" sides.
Can someone give me a hint how to configure this? When I try to ping the VPN IP of the Debian client (100.65.1.2) from the OPNsense it does not send the packages through the tunnel.

€: Has to add the VPN Network (100.65.1.0/24) to the allowed IPs of the client.

8

German - Deutsch / Split-DNS Probleme

« on: July 02, 2020, 03:07:42 pm »

Hallo zusammen,

ich habe da ein kleines Problem mit der OPNsense. Ich benutz HAProxy mit Let's Encrypt Zertifikaten um einige Dienste von außen zu erreichen. Bevor ich das ganze mit der OPNsense gemacht habe, habe ich einen Nginx Reverse Proxy auf einer VM benutzt. Damit ich sowohl von intern als auch von extern auf die diversen Dienste zugreifen kann hatte ich immer ein Split-DNS laufen. In meinem internen DNS Server hatte ich dann Einträge wie:

extern.url.tld -> 1.2.3.4

Wobei 1.2.3.4 die IP des Reverse Proxy war. Auf der OPNsense war dann einfach ein NAT von 443 bzw 80 auf die 1.2.3.4. Jetzt wollte ich einfach nur die 1.2.3.4 durch die interne IP meiner OPNsense ersetzen. Leider funktioniert das ganze nicht so wie gedacht:D Ich kenne das Problem bei Watchguard Firewalls, da musste man dann an den NAT Settings drehen, Stichwort "Hairpinning". Leider hab ich keine Ahnung wie ich das in OPNsense umsetzen muss. Hat da jemand vielleicht einen Tipp für mich?

Vielen Dank im Vorraus.

9

20.1 Legacy Series / Strange pbr behavior with VMs - Mullvad VPN included

« on: March 12, 2020, 01:46:43 pm »

Hi all,
I'm using Mullvad VPN like descriped here:

https://forum.opnsense.org/index.php?topic=15105.0

I have a few VM's, Windows and Debian. I can assign default gateways in the firewall rules.  It seems like they are using it to a half. When I ran apt update they didn't get any files from the servers but each time it is another server. Other Services like SABNZBD on the same maschine are working fine. Sometimes I get a timeout, sometimes websites are loading. Continuously pings are working. Sometimes the ping doenst get "through" at the first try but when i try it again its running. I really don't know where to look at. Can someone give me a hint?
Thanks!

10

20.1 Legacy Series / Allow internet access only over one gateway

« on: March 07, 2020, 12:35:09 pm »

Hi all,

I'm using a WireGuard VPN to Mullvad. If configured an interface and a gateway for this. I've created a rule for a alias to use the WireGuard gateway. This works fine for me. The next step would ne to deny internet access for the alias if the interface is down. I've created a second rule to deny any traffic. But this sadly doenst work. Attached is a screenshot which shows the rules for my lan. Maybe someone can help me to configure this correct.

Thanks in advance!

11

German - Deutsch / Änderungen an den Rules werden erst nach neustart übernommen

« on: February 11, 2020, 04:30:42 pm »

Hallo liebe community,

ich nutze die OPNsense Firewall auf meinem ESXi 6.7, Netzwerkkarten sind wie in der Doku empfohlen auf E1000 gestellt. Leider habe ich das Problem, das Regeländerungen an Firewall erst greifen wenn ich die VM einmal neustarte. Das ist im Betrieb natürlich eher unschön. Hat einer eine Idee woran das liegen könnte?

Vielen Dank!

12

German - Deutsch / [Gelöst]Netzwerkverkehr zwischen zwei Interfaces

« on: January 28, 2020, 04:58:35 pm »

Hallo zusammen,

ich habe hier ein Problem das mich schon ewig beschäftig und ich finde einfach keine Lösun
g.
Im Grunde genommen möchte ich das Geräte aus zwei unterschiedlichen Interfaces miteinander sprechen.

Folgender Aufbau:

OPNSense:
Interface WLAN (VLAN1 auf den Switches), dahinter Unifi Access Points
Interface LAN -> Geht direkt in den Switch ist das default VLAN.

Ich möchte nun, dass die Geräte aus dem WLAN und dem normalen LAN miteinander sprechen.

Wenn ich ein Windows 10 Client in das WLAN hänge erreiche ich diesen leider nicht.
Wenn ich ein tracert beim Windows 10 Client mache sehe ich, dass die OPNSense die Anfragen an das LAN Netz einfach in das Internet bläst und nicht an das Interface in dem Netz vom LAN.

Hat einer eine Idee was ich tun kann?

Edit: Nochmal ein Diagram:

Code: [Select]

      WAN / Internet
            :
            : Fibre
            :
      .-----+-----.
      |  Fritzbox  | 
      '-----+-----'
            |
        WAN | IP
            |
      .-----+------.   WLAN           .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   10.15.0.0/16   '------------'
            |
        LAN | 192.168.10.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


13

19.7 Legacy Series / Use Wireguard VPN to Mullvad only for one client

« on: November 05, 2019, 04:13:37 pm »

Hey all,

I have a little question. I've configured my OPNSense to use Mullvad VPN service. I was using the following guide:
https://docs.opnsense.org/manual/how-tos/wireguard-client-mullvad.html

Now all my clients are using the VPN connection to Mullvad but I want only one client to use this connection. When the VPN is down the client shouldnt be allowed to use the internet at all. The last sentence in the manual says the following:

When assigning interfaces we can also add gateways to them. This would offer you the chance to balance traffic via different VPN providers or do more complex routing scenarios.

I think something like this is needed for me? Like IP 1.2.3.4 only use Gateway Mullvad VPN without failover and all the others using the default WAN gateway?

Maybe someone can give me a hint to handle this situation?

14

19.7 Legacy Series / SSL VPN and port forwarding with one IP

« on: October 31, 2019, 07:31:40 pm »

Hi all,

at home I have only one dynamic IP adaress. As today I'm using multiple cnames on a duckdns entry. I'm forwarding port 80 and 443 to a NGINX reverse proxy. My question is if it is possible to use a SSL VPN with port 443 and also using my current setup? I think the OPNsense should must take a look at the domain name for example vpn.domain.tld and decide if it should answer a VPN or a web access.

Thanks in advance.

15

General Discussion / Problems with NAT in S2S VPN

« on: June 04, 2019, 05:00:07 pm »

Hello all,

I have a problem NAT in a side 2 side VPN.

My local network at the OPNsense is:

192.168.178.0/24

I'm using 3 tunnels in the second phase of my IPSec VPN. Each one is
on my side for one IP and on the other side for a whole network:

192.168.11.1/32 to 192.168.211.0/24
192.168.11.2/32 to 192.168.211.0/24
192.168.11.3/32 to 192.168.211.0/24

Because the network 192.168.178.0/24 is already in use at the remote side,
Im using the 192.168.11.1, 11.2 and 11.3.

In the configuration for Phase 2 in the OPNsense I've created a
"Manual SPD" entrie in each of the tunnels:

In 192.168.11.1/32 -> Manual SPD = 192.168.178.1/32
In 192.168.11.2/32 -> Manual SPD = 192.168.178.2/32
In 192.168.11.3/32 -> Manual SPD = 192.168.178.3/32

On the remote side the tunnel configurations looks like this:

192.168.11.1/32 to 192.168.211.0/24
192.168.11.2/32 to 192.168.211.0/24
192.168.11.3/32 to 192.168.211.0/24

I have two problems with this setup.

1: How can i tell the OPNsense firewall to rewrite outgoing packages from .178 to .11?
2: How can i tell the OPNsense firewall to rewrite ingoing packages from .11 to .178?

I've found the this:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html#

I've tried all possible settings in the One-to-One Nat but
it doesnt work:(

Can someone give me a hint what I have to do?

Thanks in advance