Topics

1

Virtual private networks / OpenVPN Login with Certificate and OTP

« on: January 16, 2022, 06:03:45 pm »

Hello togehter,

Can someone tell me if its possible to use OpenVPN with certificate and OTP Token (Google Auth).
I dont wont to use usernames and Passwords.

At the Moment i use ipsec vpn's without OTP. Now i want to change to OpenVPN and will increase the security little bit.

In the documents i only find the way with only cert or with cert and username/pw and OTP.

Kind regards

Andre

2

German - Deutsch / MultiWAN Routing Problem

« on: May 23, 2021, 10:42:24 pm »

Hallo zusammen,

Ich hab eien kleines Problem:
Ich habe an der Sense 2 DSL Anschlüsse laufen. Die haben leider aktuell aber bei O2 Probleme, so das es gerne mal zu Abbrüchen kommt.

Einen der Anschlüsse nutzte ich für meine Voip-Anlage, der andere dient dazu Webserver zu hosten.
Es gibt jedoch noch ein 3tes Gateway welches "normales" Internet zum surfen etc bereitstellt.

Wenn nun einer der beiden DSL ausfällt schickt er alle Daten über das 3te Gateway.
Die Frage ist wie kann ich das unterbinden?

Ich möchte das wenn einer der beiden DSL ausfällt das Gateway für das Netz tot ist und die Daten nicht über das 3te Gateway laufen.

Anbei noch ein Screen von den Gateways und Netzplan. Dazu noch die FW-Regeln für das Voice Netz.
Dies sind natürlich auch auf dem anderem Netz vorhanden, welches den DSL-Cloud nutzten soll.

Code: [Select]

┌───────────┐      ┌────────────┐
│  DSL-TK   │      │   DSL-Cloud│
│           │      │            │
└────▲──────┘      └──────▲─────┘
     │                    │
     │                    │
     │                    │
┌────┴────────────────────┴─────┐
│                               │
│           Opnsense            │
│                               │
└───────────────┬───────────────┘
                │
                │
                │
     ┌──────────▼───────────┐
     │                      │
     │     Lancom           │
     └──────────┬───────────┘
                │
                │
                │
          ┌─────▼─────┐
          │           │
          │DSL-surfen │
          └───────────┘

3

German - Deutsch / Wirguard Log

« on: May 11, 2021, 08:30:06 pm »

Hallo zusammen,

Ich habe jetzt schon etwas gesucht finde aber nichts. Wo sieht/liegt das Log von Wireguard?

Ich habe ab und das das Problem das der Dienst läuft aber sich einige Kollegen beschweren, dass sie sich verbinden können aber keine Daten fließen (sie nicht auf den Server zugreifen können).

Nach einem Neustart des Dienstes geht es wieder.

Gruß Andre

4

German - Deutsch / FW Regel blockiert 98% des Traffic und 2% nicht

« on: April 30, 2021, 06:52:20 pm »

Hallo zusammen,

Leider ist mir keine bessere Überschrift eingefallen, aber sie beschreibt das Problem zu 100%.

Kurz zum Aufbau:
Accesspoint -> Standort B -> Routed IPsec VPN -> Standort A -> Accesspointserver

Beim Attachment Regel-ausgehend erlaube ich dem Paket den Weg über den IPSec VPN.
Im Live View ausgehende sehe ich das die Pakete durchgelassen werden.
Ich sehe die Pakete auch auf dem Interface vom IPSec.

Nun kommen die Pakete im Standort A rein und sollen zum Server (Attachment Regel-eingehend).

Allerdings dropt er mir ca 98% der Pakete (Attachment Live View).

Ich verstehe nur nicht warum 
Wenn ich auf der Serverseite mitsniffe sieht der Traffic (auch im Anhang) auch sehr mehrkwürdig aus.
Ich verstehe aber nicht warum.
Aller Traffic den ich sonst durch diesen Tunnel jage funktioniert normal.

Ich habe die Regel auf beiden Seiten auch schon mal gelöscht und neu angelegt.
Hat aber leider nicht geholfen.
Vom Server kann ich den AP auch pingen und ein tracert geht auch sauber durch.

Hatt jemand noch eine Idee?

Gruß Andre

5

German - Deutsch / Wireguard Service startet bei Angabe von Allowed IPs nicht mehr

« on: April 04, 2021, 08:35:19 pm »

Hallo zusammen,

Ich habe auf meiner Sense den WireGuard installiert und wollte meine Client IPsec's damit ablösen.

Dabei habe ich mich an diese Anleitung gehalten: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Hier einmal die Config vom Server:

Code: [Select]

root@OPNsense-1:~ # less /usr/local/etc/wireguard/wg0.conf

[Interface]
Address = 10.10.10.1/24
DNS = 192.168.106.5,192.168.106.6
ListenPort = 51820
PrivateKey = geheim
[Peer]
PublicKey = auch_geheim
AllowedIPs = 192.168.106.0/24,10.10.10.2/32

Wenn ich bei AllowedIPs nur die 10.10.10.2/32 drin stehen habe, dann startet der Dienst und das Interfeace wg0 startet auch. Füge ich mein internes Netz 192.168.106.0/24 hinzu startet der Dienst nicht mehr.

Ein Restart des Dienstes (mit AllowedIPs = 192.168.106.0/24,10.10.10.2/32) auf der Console sieht wie folgt aus:

Code: [Select]

root@OPNsense-1:~ # /usr/local/etc/rc.d/wireguard restart
wg-quick: `wg0' is not a WireGuard interface
[#] ifconfig wg create name wg0
[!] Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow userspace implementation.
[#] wireguard-go wg0
[#] wg setconf wg0 /dev/stdin
[#] ifconfig wg0 inet 10.10.10.1/24 alias
[#] ifconfig wg0 mtu 1420
[#] ifconfig wg0 up
[#] resolvconf -a wg0 -x
[#] route -q -n add -inet 10.10.10.2/32 -interface wg0
[#] route -q -n add -inet 192.168.106.0/24 -interface wg0
[#] resolvconf -d wg0
[#] rm -f /var/run/wireguard/wg0.sock

In System: Log Files: General gibt er folgendes aus:

Code: [Select]

2021-04-04T20:29:12 kernel wg0: link state changed to DOWN
2021-04-04T20:29:12 kernel tun0: changing name to 'wg0'
2021-04-04T20:29:12 kernel tun0: link state changed to UP

Aber leider kann ich nicht rausfinden warum das Interface wieder aus geht.

Version des Systems:

OPNsense 21.1.4-amd64
FreeBSD 12.1-RELEASE-p15-HBSD
OpenSSL 1.1.1k 25 Mar 2021

os-wireguard 1.5

6

German - Deutsch / IKEv2 VPN bricht bei Datenfluss die Verbindung ab

« on: May 03, 2020, 05:34:07 pm »

Guten Tag zusammen,

Ich möchte aktuell von einem Lancom (1781VAW(over ISDN) inkl aktueller Firmware) ein neues VPN zu meiner Opensense aufbauen.

Aktuell existiert auf dem Lancom schon ein VPN zur alten Zentrale welches ich mit dem neuem Tunnel ersetzten möchte. Dies ist ein IKEv1 was Problemlos funktioniert.

Das neue soll ein IKEv2 werden. Das Problem ist das VPN bleibt aktiv und die SA's handeln sich auch neu aus, solange wie keine Traffic auf das VPN kommt. Sobald dies passiert bricht das VPN nach ca. 10min ab.

Anbei einmal ein Netzdiagram und das Log+Einstellungen der Sense.

Ablauf:
14:34:55 Aufbau des VPNs
Leelauf
16:04:43 Start ICMP über das VPN
Alles wunderbar
16:15:31 VPN bricht ab
Erneuter VPN Aufbau schlägt nun immer fehl.

Die Frage ist nun warum?

7

German - Deutsch / IPsec VPN Phase2 id missmatch

« on: March 07, 2020, 03:03:24 pm »

Guten Tag zusammen,

Ich habe vor einiger Zeit IPsec ike v1 Verbindungen auf der Sense angelegt. Das funktionierte auch.

Dann habe ich den Umzug von meinem alten Gateway auf die Sense um 2 Wochen verschoben und habe Anfang der Woche das Update von 19.7.10 auf die 20.1.1 gemacht.

Nun habe ich das Problem, dass strongSwan nun anscheind anders arbeitet. Ich bekomme nun mit der alten Config folgenden Fehler:

20/03/07 14:59:16 ii : phase2 rejected, id value mismatch
20/03/07 14:59:16 ii : - loc ANY:192.168.100.200:* -> ANY:0.0.0.0/0:*
20/03/07 14:59:16 ii : - rmt ANY:192.168.100.0/24:* -> ANY:192.168.100.200:*

Der Client ist ein ShrewSoft VPN.

Der Fehler liegt meiner Meinung daran, dass strongSwan die IP des ShrewSoft Clients statt des Subnetz zurück liefert. Wie kann ich das Problem lösen?

Vielen Dank & ein schönes WE

8

German - Deutsch / Gleichzeitige IPsec User

« on: November 17, 2019, 05:21:00 pm »

Hallo zusammen,

Ich hatte mal vor einiger Zeit in einem anderem Thread gelesen, das nur max. 1 gleichzeitiger User aktiv sein kann. Hab ich das richtig in Erinnerung? Weil in den Anleitungen habe ich nichts dazu gefunden.

Ich habe auf meinen alten Lancom 35 IPsec User und würde die ungern auf OpenVPN umstellen müssen, da  immer so ca. 10 User gleichzeitig aktiv sind.

Danke für Infos.

Andre

9

German - Deutsch / Frage zu XMLRPC Sync

« on: August 05, 2019, 10:15:51 pm »

Hallo zusammen,

Ich baue mir gerade ein HA Cluster auf und habe eine Frage zum XMLRPC Sync.

Wenn ich die Option Firewall Rules in System: High Availability: Settings aktiviere und habe vorher auf meinem Slave den Traffic für HTTPS und pfSync explit für den Master erlaubt, überschreibt er mir diese Regeln bzw. löscht diese?

Also z.B.: Ich habe auf dem Slave (192.168.0.2) den Traffic von 192.168.0.1(Master) erlaubt, meine Regel auf dem Master erlaubt dann ja den Traffic von 192.168.0.2 zur 192.168.0.1. Würde mir die Masterregel die auf dem Slave überschreiben oder löschen?

Die gleiche Frage stellt sich mir auch bei den Virtual IPs, da ich dort gerne über die Advertising Frequency steuern will wer Master und wer Slave ist.

Vll. kann mich einer erhellen.

10

German - Deutsch / Bug im Log Live View?

« on: July 20, 2019, 05:13:34 pm »

Hallo zusammen,

Ich habe auf der Sense eine Portfreigabe erstellt und bin etwas über die Ausgabe im Live View verwundert.



Der erste Match ist der eingehende Traffic vom WAN aus. Das ist soweit auch alles richtig.


Der 2te Match ist jedoch laut Pfeil ausgehend. Dafür würden aber die Adressen falsch sein.


Hat das schonmal jemand beobachtet?

Gruß Andre

11

German - Deutsch / Multi-Wan Portfreigabe und Rückweg

« on: July 03, 2019, 09:17:13 pm »

Hallo zusammen,

Zuerst einmal Lob an das Forum, ich habe hier schon viele Antworten auf meine Fragen gefunden.

Bei meinem aktuellem Problem habe ich leider nichts passendes gefunden.

Mein Ziel:
Ich habe einen Cloud Server (zum testen aktuell Ubuntu mit einem SSH Server drauf keine FW aktiv). Auf diesen möchte ich per SSL von Intern 192.168.11.0/24 und vom Internet zugreifen.

Was bisher geht:
1. Ich kann vom 192.168.11.0/24 auf den SSH Server zugreifen (Regel erstellt alles schön).

2. Ich kann vom Cloudserver ins Internet. Er zeigt mir dort auch meine statische externe IP an (www.wieistmeineip.de).
Sprich mein PPPoe über Vlan112 geht. Regel als Bild im Anhang.

3. Ich komme auf das Management des Vigor Modem drauf, nachdem ich die Route zum 192.168.11.0/24 eingetragen habe.

4. Ich sehe den Traffic der über das Internet auf dem Interface WAN_Cloud_PPPoe landet.

5. Ich habe eine NAT Regel erstellt, die den Traffic auf Port TCP 22 auf die interne Adresse 192.168.102.2 umbiegt erstellt.

Was nicht geht:
Ich versuche von außen eine SSh Sitzung aufzubauen aber es kommt zum Timeout. Die Frage ist warum?
Die Pakete müßten doch aufgrund der Regel oben auch wieder über den DSL-Anschluss würd die Cloud geroutet werden.

Anbei auch noch einmal der Gesamte Testaufbau auch als Anhang.

Hich hoffe jemand kann mir Rat geben.

Und kann ich Attachments an bestimmten Stellen einbinden?

Grüße Andre