Topics

1

German - Deutsch / IPSec -> Fritzbox Abbrüche nach Umstellung ipsec.conf nach swanctl.conf

« on: January 10, 2024, 07:48:18 am »

Hallo Mitstreiter,

Ich habe mich gestern mal ran gewagt und meine IPSec Konfig von Legacy (ipsec.conf) nach Connections (swanctl.conf) umgestellt. Leider musste ich trotz besserer Anpassung feststellen das ich Verbindungsabbrüche habe. Meist so alle 1 Stunde für 1-2 Minuten. Das ist doch recht störend im täglichen Betrieb.

Das Log der Fritzboxen ist auch seit der Umstellung bezüglich VPN recht gut gefüllt. Das hatte ich davor nicht.

Code: [Select]

10.01.24
07:15:11
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
07:14:58
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 07:14:25]
10.01.24
07:14:11
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
07:11:43
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
06:20:11
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
06:20:11
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 06:19:55]
10.01.24
06:19:40
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 06:18:38]
10.01.24
06:18:24
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 06:17:54]
10.01.24
06:17:37
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
06:15:10
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
05:22:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
04:27:45
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
04:27:39
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
04:25:12
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
...
...
10.01.24
02:59:03
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 02:58:18]
10.01.24
02:58:03
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 02:57:13]
10.01.24
02:56:57
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:55:24]
10.01.24
02:55:07
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:54:51
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:53:12]
10.01.24
02:52:56
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 02:51:49]
10.01.24
02:51:34
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:51:18]
10.01.24
02:51:02
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:49:26]
10.01.24
02:49:10
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:48:55]
10.01.24
02:48:39
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:48:23
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 02:47:17]
10.01.24
02:47:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [6 Meldungen seit 10.01.24 02:45:42]
10.01.24
02:45:25
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:45:07
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [8 Meldungen seit 10.01.24 02:43:17]
10.01.24
02:43:00
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 02:42:29]
10.01.24
02:42:14
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:41:58]
10.01.24
02:41:43
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:41:28
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:41:12
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:40:57
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:40:37
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 12 SA loss
10.01.24
02:40:37
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 46.142.14.45, DNS-Server: 82.144.41.8 und 82.145.9.8, Gateway: 94.134.199.212, Breitband-PoP: pot0007bihk001, LineID:1UND1.DEU.DTAG.8UAK
10.01.24
02:40:34
Internetverbindung wurde getrennt.
10.01.24
02:40:34
Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.
10.01.24
02:19:20
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
01:25:04
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
01:24:50
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 01:24:17]
10.01.24
01:24:02
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 01:23:16]
10.01.24
01:23:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 01:22:10]
10.01.24
01:21:54
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 01:21:25]
10.01.24
01:21:08
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
01:18:40
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
00:27:08
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
09.01.24
23:32:51
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
09.01.24
23:32:41
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 09.01.24 23:32:10]
09.01.24
23:31:55
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 09.01.24 23:31:22]
09.01.24
23:31:05
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
09.01.24
23:28:38
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027

Die kleine Lücke habe ich gemacht weil zwischen 3 und 4 eh die Zwangstrennung ist, also nicht repräsentativ.

Im Grunde habe ich mich an die Konfig von hier https://forum.opnsense.org/index.php?topic=32429.msg160082#msg160082 gehalten nachdem die Abbrüche sofort nach der Umstellung häufig auftauchten. Einzige Änderung zur eben erwähnten Konfig im Link ist das ich DH14 genommen habe weil das als einziges überhaupt eine Verbindung zu stande kommen lässt.


Vielleicht gibt es hier ja wissende die mir noch Tipps geben können.

2

German - Deutsch / [!!! GELÖST !!!]Sense Version 22.7.10_2 HAProxy Konfig wird nicht geschrieben

« on: January 11, 2023, 08:29:48 am »

Hallo,

Anscheinend wird die HAProxy Konfig nicht mehr geschrieben bei mir. Ich kann angelegte Rules oder hinterlegte Zertifikate im Frontend nicht auswählen.
Weiß da jemand was zu? Im Forum habe ich zeitlich nichts passendes gefunden.


Grüße

3

German - Deutsch / IPsec site to site mit 3 Netzen

« on: October 23, 2022, 11:21:23 am »

Hallo Leute,

Ich habe eine OPNsense in einem Hetzner Netz, dazu 2 Fritzboxen.

Hetzner 10.6.0.0/16
FritzA 192.168.0.0/24
FritzB 10.100.0.0/27

FritzA und FritzB sind beide mit Hetzner verbunden. Ich kann aus FritzA und FritzB jeweils alle Server in Hetzner anpingen und ich kann aus Hetzner raus alle Server in FritzA und FritzB anpingen.


So nun zu 2 Problemen

1. Aus dem Netz FritzA erreiche ich eine DNS Anfrage im Hetzner Netz (also den DNS Server 10.6.6.1), aus FritzB erreiche ich diese DNS Anfrage nicht (keine Antwort von 10.6.6.1) obwohl beide Fritz Netze per FW Rules es dürften

2. Ich komme aus FritzA nicht ins FritzB, was sicherlich so gewollt ist. Aber wie kann ich das machen das es doch klappt?


DNS wäre aber erstmal vorrangig.
Anbei noch Screens von der FW

4

German - Deutsch / Frage zu OpenVPN und routing

« on: November 09, 2021, 03:44:00 pm »

Hallo Leute,


Ich habe ein OpenVPN Server Mode "Remote Access". Ein kleiner Raspi stellt als Client die Verbindung auf die Firewall her. Nun können Server in meinem Netz über die Firewall und das VPN auf den Raspi zugreifen und der RAspi kann auf das Netzwerk hinter der Firewall zugreifen.


                        Raspi --------------- Firewall   ---------------------------Server
eth0 192.168.240.20                   10.6.6.1                                   10.6.6.20
VPN 10.6.32.20                           VPN 10.6.32.1


Ich kann also von 10.6.6.20 auf 10.6.32.20 zugreifen. Super.
Jetzt möchte ich aber auf 192.168.240.30 zugreifen, also einem Gerät welches auf der Raspi Seite zu finden ist. Der Raspi soll die Anforderung weiter leiten. Doch so weit komme ich gar nicht. Wie sage ich der 10.6.6.20 wie sie Packete zu 192.168.240.30 senden soll. Bzw denke ich mal das ich das der Firewall sagen muss da sie als default Gateway fungiert und die Verbindung zu 10.6.32.20 hat.



Grüße
Marko

5

German - Deutsch / [GELÖST] Update auf 21.1.3 Dashboard Link Fehler

« on: March 12, 2021, 12:04:21 pm »

Hallo,

Ich habe eben die 21.1.3 installiert und festgestellt das im Dashboard die Links der Widgets nicht funktionieren. Auch sehen die Überschriften der Widegets komisch aus.
Auf den Bildern seht Ihr mein Dashboard und die 2 Widgets heißen. Das dritte Bild ist dann wenn ich auf den Namen eines Widgets klicke.


Grüße

6

German - Deutsch / Hetzner+Proxmox+OPNsense+4 zusätzliche IPs

« on: January 18, 2021, 09:53:22 am »

Hallo Leute,

Ich habe ein Interessantes Problem. Kurz mein Setup

Server bei Hetzner mit Proxmox installation
IP Konfiguration

Code: [Select]

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp0s31f6
iface enp0s31f6 inet manual

iface enp0s31f6 inet6 static
        address 2a01:4f8:211:1104::2
        netmask 64
        gateway fe80::1



### Proxmox typische Netzwerke
auto vmbr0
iface vmbr0 inet static
        bridge_ports enp0s31f6
        bridge_stp off
        bridge_fd 0
        address 1xx.xxx.xxx.57
        netmask 255.255.255.192
        gateway 1xx.xxx.xxx.1
        pointopoint 1xx.xxx.xxx.1      (selbe wie Gateway)
        up ip route add 1xx.xxx.xxx.34/32 dev vmbr0
        up ip route add 1xx.xxx.xxx.60/32 dev vmbr0
        up ip route add 1xx.xxx.xxx.55/32 dev vmbr0
        up ip route add 1xx.xxx.xxx.51/32 dev vmbr0


### Virtuelle Netzwerke
iface enp0s31f6.90 inet manual
iface enp0s31f6.60 inet manual
iface enp0s31f6.80 inet manual
iface enp0s31f6.40 inet manual


auto vmbr90
iface vmbr90 inet manual
        bridge_ports enp0s31f6.90
        bridge_stp off
        bridge_fd 0

auto vmbr60
iface vmbr60 inet manual
        bridge_ports enp0s31f6.60
        bridge_stp off
        bridge_fd 0

auto vmbr80
iface vmbr80 inet manual
        bridge_ports enp0s31f6.80
        bridge_stp off
        bridge_fd 0

auto vmbr40
iface vmbr40 inet static
        bridge_ports enp0s31f6.40
        bridge_stp off
        bridge_fd 0
        address 10.6.4.5
        netmask 255.255.255.0
        up route add -net 10.6.32.0 netmask 255.255.255.0 gw 10.6.4.1 dev vmbr40
        up route add -net 10.6.6.0 netmask 255.255.255.0 gw 10.6.4.1 dev vmbr40

In Proxmox habe ich dann erstmal 2 Netzwerkkarten für die Sense VM vergeben. Einmal über vmbr0 Bridge und einmal über vmbr40 Bridge. vmbr0 ist WAN und vmbr40 ist LAN.


Diese Konfiguration mit der 2. IP Adrresse (also 1. zusätzliche IP) läuft seit 6 Monaten und ich kann ohne Probleme aus dem Internet meine angebotenen Services aufrufen welche die Sense dann entsprechend händelt. Also entweder HAProxy direkt auf der Sense oder über Portforwarding weiter auf interne Systeme.

Wie Ihr an der Netzwerkkonfiguration auf dem Proxmoxserver sehen könnt sind noch 3 weitere zusätzliche IP Adressen konfiguriert. Diese habe ich nun in der Sense versucht ein zu binden. Dazu habe ich ein weiteres Netzwerkinterface der Sense VM zugewiesen und wieder Bridge vmbr0 genommen. So wie auch schon bei der 1. zusätzlichen IP. Auf der Sense habe ich dann das dadurch entstandene Netzwerkinterface mit der 2. zusätzlichen IP konfiguriert und als einziges Unterschied unter Gateway "auto" zu stehen da ich sonst nichts weiter auswählen konnte. Aktiviere ich nun dieses Interface funktioniert das Portforwarding für die erste zusätzliche IP nicht mehr. Interessanter Weise bleibt mein VPN und die HA Konfiguration zur ersten zusätzlichen IP aber erreichbar. Es scheint also das alle Services welche direkt auf der Sense Enden weiter funktionieren wogegen Portforwarding nicht mehr geht. Eventuell Routing??
Kann mich da jemanden versuchen zu erhellen wieso ich das nicht zum laufen bekomme.


Danke und Grüße

7

German - Deutsch / [GELÖST] System: Firmware: Reporter meldet Fehler in AcmeClient/certhelper.php

« on: May 28, 2020, 06:31:07 am »

Hallo,

Seit Version 20.1.7 bekomme ich jede Nacht eine Fehlermeldung

Code: [Select]

PHP Warning:  "continue" targeting switch is equivalent to "break". Did you mean to use "continue 2"? in /usr/local/opnsense/scripts/OPNsense/AcmeClient/certhelper.php on line 1421
[28-May-2020 01:05:00 Europe/Berlin] PHP Warning:  "continue" targeting switch is equivalent to "break". Did you mean to use "continue 2"? in /usr/local/opnsense/scripts/OPNsense/AcmeClient/certhelper.php on line 1428

Hat da jemand eine Idee für mich?

8

German - Deutsch / [gelöst] eine Regel gibt zu viel Frei

« on: October 29, 2019, 03:47:10 pm »

Hallo,

Ich verwende OPNsense 19.7.5_5-amd64 und habe unten anghängte Regel erstellt. Wie man im Live Log sieht geht aber mehr durch die Regel wie eigentlich erlaubt. Es sollte nur ein einziger Client durch die Regel gehen, dennoch werden noch 2 weitere aufgelistet.

Ist das ein Bug und eher ein Fehler meiner Seits.

9

German - Deutsch / [gelöst] 19.7.5 nimmt kein Content im Alias an

« on: October 12, 2019, 10:25:03 am »

Hallo,

Ich bin heute auf 19.7.5 gegangen und wollte einen neuen Alias für Ports anlegen. Leider verschwindet jeglicher neuer Eintrag im Contentfeld sofort wenn ich wo anders hin klicke. Das einfügen bestehender Aliase ist im Content Feld möglich, Quasi Verschachtelung.
Einzige extreme Veränderung welche ich gemacht habe die Tage
Firewall->Settings->Advanced->Firewall Maximum Table Entries auf 1000000 gesetzt.

Kann das bitte einmal jemand bei sich prüfen. Vielen Dank

10

German - Deutsch / [gelöst] Speicher erweitern.

« on: October 12, 2019, 07:25:23 am »

Guten Morgen,

Ich habe zum Thema Speichererweiterung einen Thread mit verweis auf BSD Forum gefunden. Dachte mir ich frage aber vielleicht doch einfach einmal.
Ist es Möglich wenn ich bei meiner virtuellen OPNsense die Festplatte erweiter (von 10GB auf 50GB) diese Erweiterung auch bei der OPNsense weiter zu geben?

Bedeutet für mich im laufenden Betrieb löschen der Partition und neu anlegen der selbigen mit anderem Sectorende sowie erweitern des Filesystems. Mittels df -hT habe ich raus gefunden das es ufs Filesystem ist, was auch immer das ist :-)


Grüße

11

German - Deutsch / Web Proxy Freigaben nach Zeiten

« on: September 30, 2019, 09:15:52 am »

Hallo,

Bevor ich opnSense in Verwendung hatte habe ich squid zusammen mit squidguard auf einem BananaPi Router verwendet.
Dort konnte ich bestimmte IP Adressen je nach Tageszeit (Uhrzeit) bestimmte Kategorien freigeben. So konnte ich Abends und Morgend WhatsApp sperren aber am Tag erlauben. Ebenso das Thema volles Internet bis runter auf nur Radio Streams am Abend ab 19 Uhr.
Kann ich ähnliches mit opnsense und dem Web Proxy umsetzen?



Grüße
Leon

12

German - Deutsch / OpenVPN Suse Client geht, Android Client bringt Zertifikatsfehler

« on: August 15, 2019, 01:04:36 pm »

Hallo,

Ich habe erfolgreich einen OpenVPN Server eingerichtet und konnte mit Hilfe der Client Exporte auch unter Suse Linux 15 das VPN einrichten und testen. Geht genau so wie von mir gedacht.
Nun habe ich einmal die selbe Client Konfig und eine neue Client Konfig (anderer User anderes Clientzertifikat) in meine Android App "OpenVPN für Android" import. In beiden Fällen bekomme ich ein Zertifikatsfehler.

Code: [Select]

depth 0 unable to get local issuer certificate
Hat dazu jemand eine Idee?


Grüße
Leon

13

German - Deutsch / [gelöst] GMail Relay?

« on: August 13, 2019, 09:33:56 am »

Hallo,

Ich würde OPNSense mit postfix gerne so konfigurieren das es intern als Mailgateway fungiert und Mails an gmail als Relay Host weiter leitet. Kann man dies über das Frontend einstellen oder kann ich da die Anpassungen über die Konsole machen?

Grund sind einige Hosts in meiner privaten Virtualisierungsumgebung welche Statusmeldungen versenden sollen. Ich will aber nicht für jeden Host das postfix mit meinem GMail Account konfigurieren.

Grüße
Leon