Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - Patrick M. Hausen

Pages: [1] 2 3 ... 6

German - Deutsch / Deutsche Glasfaser - was bekommt man?

« on: November 17, 2024, 08:26:02 pm »

Hallo zusammen,

die DG grast gerade das Wohngebiet meines Kollegen zwecks Erschließung ab und verteilt fleißig Prospekte.

Leider fehlt sowohl in dem Hochglanzteil als auch in den AGB jede Definition, wie sie denn nun IP liefern. Den verschiedenen Threads hier entnehme ich, dass es auf jeden Fall IPv6 gibt, möglicherweise nur PD - was ja aber kein Problem wäre.

Die interessantere Frage aber ist:

- gibt es eine öffentliche fixe IPv4-Adresse?
- wenn nein, gibt es zumindest eine öffentliche dynamische IPv4-Adresse?
- gibt es ein fixes IPv6-Prefix?

Eigener Router (Sense) am ONT scheint ja wenigstens offiziell supportet zu werden. Würde dem Kollegen dann eine Fritzbox 7510 hinter der Sense für die DECT-Telefone empfehlen. Schon witzig, dass heutzutage eine Fritzbox die beste Telefonanlage für einen Privathaushalt oder ein kleines Büro ist. Das Gigaset-Zeug oder Yealink ist eine dermaßene Zumutung ... hatten wir ja schon

Danke für Hinweise, Grüße
Patrick

German - Deutsch / Off-topic: merkwürdiges Verhalten einer Fritzbox mit SIP und DECT

« on: November 05, 2024, 09:45:13 am »

Hallo, nachdem hier ja einige Spezialisten für SIP unterwegs sind, und der Anlass für das Problem tatsächlich der Einbau einer OPNsense ist, versuche ich es erst einmal hier.

Gegeben ist ein Vodafone Kabelanschluss mit Fritzbox vom Provider und Telefonie. Ich hatte ja vor einiger Zeit schon mal mit euch die Szenarien durchgespielt von wegen Bridge Mode, eigenes Kabelmodem, etc. pp.

Wir haben dann den sinnvollen Hinweis beherzigt, die OPNsense hinter die Fritzbox zu hängen. Zunächst ohne doppeltes NAT mit einer statischen Route in der Fritzbox. Das Management-Netz für das Unifi-Geraffel haben wir ebenfalls "draußen" gelassen und einfach zwei neue VLANs in Unifi angelegt und auf getrennte phys. Ports der OPNsense gepatcht. Ihr könnt mir glauben, dass wir diesen Teil im Griff haben

/16er Netze weil der liebe Kollege ein Einfamilienhaus hat und seine Heimautomatisierung etwas eskaliert. Das war auch der Grund für die OPNsense und getrennte Netze etc. pp. Will sagen, es ist wahrscheinlich, dass 254 Adressen nicht ausreichen werden.

NAT auf der OPNsense wie gesagt aus!

Code: [Select]

                                               ▲                                               
                                               │                                               
                                               │                                               
                                               │ Uplink                                        
                                               │                                               
                                               │                                               
                                      ┌────────────────┐                                       
                                      │                │                                       
                                      │                │                                       
                                      │    Fritzbox    │                                       
                                      │                │                                       
                                      │                │                                       
                                      └────────────────┘                                       
                                               │                                               
                                               │ 192.168.90.1                                  
                                               │                    Unifi VLAN: Default (1)    
                                               │                    Netzwerk:   192.168.90.0/24
                                               │                                               
                                               │ 192.168.90.2                                  
                                               │                                               
                                      ┌────── WAN ─────┐                                       
                                      │                │                                       
                                      │                │                                       
──────────────────────────────────── LAN   OPNsense   IOT ─────────────────────────────────────
                                      │                │                                       
Unifi VLAN: LAN (16)                  │                │ Unifi VLAN: IOT (17)                  
Netzwerk:   172.16.0.0/16             └────────────────┘ Netzwerk:   172.17.0.0/16             
DHCP Range: 172.16.1.0-172.16.255.254                    DHCP Range: 172.17.10.0-172.16.255.254

Auf der Fritzbox haben wir dann eine einzige statische Route angelegt, siehe Bild:

Und jetzt kommts: wenn diese Route aktiv ist, funktioniert die Telefonie nicht. Man ruft an, Signalisierung klappt, aber keine Sprachübertragung. Das Telefon ist ein Gigaset DECT-Telefon an der Fritzbox. Es ist also lokal kein SIP im Spiel.

Schaut man in der Fritzbox in das Log unter Telefonie > Eigene Rufnummern > Sprachübertragung, dann sieht ein Anruf so aus:

Was ist das für eine IP-Adresse 172.17.8.97? Die existiert in unserem Netz nicht! Bildet so eine Fritzbox die DECT-Telefonie auf nicht dokumentierte private IP-Adressen ab, die sie intern für ... was eigentlich

... verwendet?

Bin diesbezüglich sehr verwirrt. Weiß da jemand was?

Deaktiviert man die Route in der Fritzbox, funktioniert es sofort wieder. Was zur Hölle?

Ein möglicher Workaround ist natürlich, auf dem WAN der OPNsense dann doch NAT zu machen. Oder ein anderes Netz zu wählen? Gibt's da irgendwo eine Doku? Hätte ich die Garantie, dass es mit irgendwas aus 10/8 dauerhaft funktioniert?

Danke im Voraus und Grüße
Patrick

Development and Code Review / How does the +TARGETS file in a plugin work?

« on: October 17, 2024, 08:20:28 pm »

Hi all,

if I want to copy "distro" to "/usr/local/sbin/distro" like so:

Code: [Select]

distro:/usr/local/sbin/distro

is there a way to specify that the file should be installed mode 755?

Thanks!
Patrick

Virtual private networks / Wireguard interface naming - wg0 or not?

« on: October 15, 2024, 04:23:03 pm »

Hi all,

wasn't there a release when wg0 became verboten and interfaces needed to start with wg1? I remember I renumbered all interfaces on all my firewalls via XML edit back then.

Now I just configured a new system with a single tunnel, added an instance and a peer and *boom* - wg0.
So what's the current (and hopefully future) state of affairs?

Thanks,
Patrick

German - Deutsch / Vodafone, Kabel, Bridge-Mode, Gedöns ...

« on: September 13, 2024, 07:51:10 pm »

Hallo ihr Lieben,

jetzt brauche ich ausnahmsweise mal Beratung an dieser Stelle. Im Voraus schon mal vielen Dank für alle Hinweise.

Situation:

Ein > 10 Jahre alter Kabel BW --> Unity Media --> Vodafone Business-Anschluss über Kabel. Feste IPv4-Adresse, kein IPv6, Telefonie dabei. Fritzbox 6591 von Vodafone. Die gabs irgendwann zwischendurch mal kostenlos als Ersatz für die ältere, die da vorher war.

Die feste IP-Adresse ist angeblich per DHCP realisiert, wobei man da an der providereigenen Fritzbox nix einstellen kann. Der Telefonsupport behauptet, das sei ein geroutetes /30. Kann ja sein. Ich krieg zwar meine eigene IP-Adresse im UI angezeigt, aber leider nicht den Defaultgateway.

Nun hat der Kollege inzwischen so viel IoT-Geraffel in seinem Einfamilienhaus angesammelt, und eine über alle Stockwerke reichende Unifi-Infrastruktur, dass der Wunsch nach mehreren SSIDs und VLANs aufkommt. OPNsense hab ich ihm jetzt mal als "gesetzt" verkauft, wir haben in der Firma und bei Kunden inzwischen 12 Systeme im Einsatz, ich lach mir kein anderes Produkt mehr an.

Anruf bei Vodafone heute:

Ich hab mich mal mit der Kundennummer bei denen gemeldet und nach Bridge Mode gefragt.

Erste Auskunft: den brauchen Sie nicht mehr, sie können da an den Ports 2-4 Port Forwarding einrichten. Evtl. habe ich das nicht richtig verstanden, aber dann hab ich doch die externe IP-Adresse immer noch auf der Fritzbox und eine private auf dem WAN der OPNsense, oder? Das ist ja nun Quatsch. Zumindest so wie ich Netze betreibe - mir ist klar, dass das prinzipiell schon geht.

Auf mein Insistieren die zweite Auskunft: ich könne mir kostenlos eine Vodafone-Station schicken lassen, die könne Bridge Modus. Verbunden zur Abteilung, die das in die Wege leiten kann.

Dritte Auskunft: stimmt alles, aber dann ist der Vertragsbestandteil mit der festen IP-Adresse bzw. dem /30 weg, dann gibts nur noch dynamische Adressen.

Aaaber: ich könne eine eigene Fritzbox kaufen, die könne man über das UI in den Bridge Mode versetzen, die neue MAC-Adresse der OPNsense bei Vodafone einkippen, und dann ginge das alles.

Die bange Frage: stimmt das? Welches Modell würde man da nehmen? Dasselbe, also 6591?

Ich hab per Suchmaschine noch diesen Artikel gefunden:
https://schroederdennis.de/allgemein/fritzbox-bridge-mode-aktivieren-und-genau-erklaert-6591-6660/

Das sieht ja eher so semi-gut aus. Also Dual-Stack mit Bridge aber dann keine feste IPv4-Adresse mehr etc.

Ich bevorzuge bei unseren Business-Standorten - und da zählen auch Heimbüros dazu - wirklich fixe IP-Adressen. Lieber route ich dann IPv6 selbst aus unserem AS da hin als mit dynamischen Prefixen rumzumachen. Das Büro in Frankfurt hat auch Vodafone mit einer fixen IPv4. Dort macht dann aber die Fritzbox das "Internet" und im LAN hängt eine OPNsense, die nur ein Interface hat und IPv6 bereitstellt. Hab ja ein /32

Danke fürs Lesen, wenn mir jemand erklären könnte, was der Supporter mit diesem Spezialmodus an Port 2-4 meint - ich mein, die eine IP-Adresse liegt entweder auf der Fritzbox oder auf dem Gerät an Port 2 ... - dann wäre das echt klasse.

Liebe Grüße
Patrick

24.7 Production Series / Alive check API/web endpoint?

« on: September 05, 2024, 02:14:07 pm »

Hi all,

I'd like to monitor all my OPNsense instances with Uptime Kuma. Just a binary "alive or not".

Since some are behind another NAT gateway, a simple ping would not be sufficient. I can poll the UI login and check for a string like "OPNsense" for example.

Question: is there anything even more lean and less of a burden on the firewall - like an API endpoint that returns a tiny bit of JSON even for not authenticated sessions?

Kind regards and thanks,
Patrick

Virtual private networks / OpenVPN Connection Status - how to show authenticated user instead of cert CN?

« on: August 16, 2024, 11:09:17 am »

Hi all,

we run OpenVPN for remote access and I am in the process of migrating from a dedicated VPN gateway running pfSense to our office firewall HA pair running OPNsense 24.7.1.

Technical issues are almost completely ironed out - things seem to work quite well.

I have one issue with the Connection Status display, though.

We use identical certificates for all users that we include in the single .ovpn configuration file everybody uses. Users are then authenticated with username and password against our Active Directory over LDAPS.

In the old pfSense system the OpenVPN status display lists the logged in users. In OPNsense it lists the CN from the client cert - which is obviously useless in our case. See screenshots, please.

Is this intentional? Would it work differently if I use the legacy setup instead of "Instances"? I can try and code something like

- is there a defined user name for the client connection?
- if yes, display this instead of the CN

and file a pull request. I just want to check the intention with the new "Instances" implementation, first. No idea how much effort this is going to take. Possibly make it a checkbox? "Display user name instead of CN"?

German - Deutsch / OpenVPN-Fragen - Migration von pfSense

« on: August 16, 2024, 10:28:13 am »

Hallo zusammen,

ich poste mal im deutschen Forum, weil ich hoffe, dass der liebe Jens hier mitliest und kurzfristig was dazu sagen kann

Ich baue gerade einen neuen OpenVPN-Zugang für alle Mitarbeiter. Die Netgate-Appliance, die das bisher macht, ist schon etwas älter, und wir haben ja diesen schönen OPNsense HA-Cluster ...

Ich benutze "Instances".

Die generierte Server-Konfiguration sieht so aus:

Code: [Select]

dev ovpns1
ping-timer-rem
topology subnet
dh /usr/local/etc/inc/plugins.inc.d/openvpn/dh.rfc7919
verify-client-cert require
remote-cert-tls client
server 217.29.46.16 255.255.255.240
client-config-dir /var/etc/openvpn-csc/1
auth-user-pass-verify "/usr/local/opnsense/scripts/openvpn/ovpn_event.py --defer '561fc255-2ff2-4853-aa4d-0c8a7f00acde'" via-env
learn-address "/usr/local/opnsense/scripts/openvpn/ovpn_event.py '1'"
client-disconnect "/usr/local/opnsense/scripts/openvpn/ovpn_event.py '561fc255-2ff2-4853-aa4d-0c8a7f00acde'"
tls-verify "/usr/local/opnsense/scripts/openvpn/ovpn_event.py '561fc255-2ff2-4853-aa4d-0c8a7f00acde'"
max-clients 13
multihome
push "register-dns"
push "dhcp-option DOMAIN intern.punkt.de"
push "dhcp-option DNS 217.29.45.12"
push "dhcp-option DNS 217.29.45.13"
push "route 217.29.44.0 255.255.254.0"
persist-tun
persist-key
keepalive 25 60
dev-type tun
dev-node /dev/tun1
script-security 3
writepid /var/run/ovpn-instance-561fc255-2ff2-4853-aa4d-0c8a7f00acde.pid
daemon openvpn_server1
management /var/etc/openvpn/instance-561fc255-2ff2-4853-aa4d-0c8a7f00acde.sock unix
proto udp
verb 3
disable-dco
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
port 1194
duplicate-cn
mssfix

Und die exportierte Client-Konfiguration so:

Code: [Select]

dev tun
persist-tun
persist-key
client
resolv-retry infinite
remote ******.punkt.de 1194 udp
lport 0
verify-x509-name "C=DE, ST=Baden-Wuerttemberg, L=Karlsruhe, O=punkt.de GmbH, emailAddress=hostmaster@punkt.de, CN=vpn-server.punkt.de" subject
remote-cert-tls server
auth-user-pass
auth-nocache

Erstes Problem beim Verbinden mit Tunnelblick/OpenVPN 2.6.9:

Code: [Select]

2024-08-16 10:20:58.260531 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:1: register-dns (2.6.9)

Ich habe mir einen Wolf gegoogelt. Auch die Upstream-Doku ist nicht wirklich hilfreich. Wenn ich hier:
https://openvpn.net/community-resources/

"register-dns" in das Suchfeld eingebe, erhalte ich exakt 0 Treffer.

Ist das überhaupt die richtige Dokumentation? Wo finde ich eine vollständige Referenz aller Optionen?

Liebe Grüße und danke,
Patrick

Virtual private networks / HA capable WireGuard - how is that supposed to work?

« on: August 13, 2024, 07:24:37 pm »

Hi all,

I have a long established WG setup with a central data centre (hub) and two offices (spoke). Usual topology.
The central data centre uses a HA pair.

Since WG did not truly support a clustered setup I configured the connections as follows:

- the hub does not have the spoke's IP addresses configured in the peer settings, so it can never initiate the connection
- the inbound firewall rule on the hub permits WG packets (51820/UDP) to the CARP HA address only
- so the spokes "dial in", hit the active node, the passive one has no idea whom it should contact, and everyone is happy

Now I wanted to change the setup to use the new "Depend on (CARP)" setting in the "Instances" section. Unfortunately the moment I set this to "WAN HA on wan (vhid 1)" which is the CARP address in use the WG connections drop and cannot be reestablished. Not by restarting the service on both spokes, not by rebooting, simply doesn't work.

The active node of the HA pair does have the CARP address as master as shown by the CARP status, yet the WG logfile says:

"Wireguard configure event instance KAGate (wg0) vhid: 1 carp: DISABLED interface: down"

Hints welcome.

Kind regards,
Patrick

German - Deutsch / Glückwunsch zum neuen Job, @Monviech!

« on: August 09, 2024, 05:21:40 pm »

Tolle Neuigkeiten!

Hardware and Performance / My DEC appliances fail to reboot every once in a while?

« on: July 28, 2024, 09:33:39 pm »

Hi all,

today I upgraded one HA cluster built with two DEC3860 units from 21.7 (yeah, I know ...) all the way to 24.7.

The updates themselves went perfectly unspectacularly and reliably. Just one release at a time, standby first, primary second.

But ...

I initially planned to do this last Sunday. When going from 22.1 to 22.7 the standby unit did not come back up.
So today I drove to Frankfurt, power cycled the standby - which completed the update perfectly - and went on.

About 1/3 of all the software initiated reboots failed. I connected serial consoles and the systems seem to hang somewhere between the EFI bootloader and the FreeBSD loader.efi before it goes on to load kernel and modules. Power cycle always fixes the problem.

I also observed "reboot not working" with our office DEC690 unit. There is no primary/standby setup in that location so we just pulled the plug. This time, too, the update finished and the firewall booted perfectly fine.

*phew* this is a bit of downer, really. The majority of the firewalls I manage are an hour or two of a car ride away. If I cannot dare to install updates because the system might fail to boot, well ...

Any idea what is happening, here? Can I expect this to be fixed now with FreeBSD 14.1? Are there any firmware updates that would help?

I would hate if this continued to be a lottery. Because I really like the Deciso appliances. Insane built quality and price/performance ratio. But I would seriously consider going back to Supermicro instead where I have full IPMI and can power cycle the systems from afar. At least everywhere where I have an HA setup.

Serial console is nice, but without power control, remote media etc. there can always be a situation where I have to drive which I would rather avoid.

Kind regards,
Patrick

24.7 Production Series / 27.4.tar.gz not found ...

« on: July 24, 2024, 09:33:39 pm »

Code: [Select]

root@freebsd:/home/vagrant # sh opnsense-bootstrap.sh -r 27.4 -y
This utility will attempt to turn this installation into the latest
OPNsense 27.4 release.  All packages will be deleted, the base
system and kernel will be replaced, and if all went well the system
will automatically reboot.

fetch: https://github.com/opnsense/core/archive/stable/27.4.tar.gz: Not Found

Did anything change in that regard?

24.7 Production Series / How to upgrade from 24.1.10 to RC1?

« on: July 16, 2024, 04:57:12 pm »

Hi!

When I switch the type to "Development" I end up with 24.7.b_215. No additional updates are offered after that one. When I switch the type back to "Community" it offers me to downgrade to 24.1.10.

So ... how?

Thanks!
Patrick

24.1 Legacy Series / OpenSSH CVE-2024-6387

« on: July 01, 2024, 12:09:31 pm »

Hi folks!

Are we in for a quick hotfix?

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc

Kind regards,
Patrick

German - Deutsch / Off-topic: AVM-Fritz-Geraffel ersetzen?

« on: June 29, 2024, 07:03:28 pm »

Hallo zusammen,

bei mir fängt jetzt die zweite Fritzbox an, regelmäßig zu zicken. Evtl. wegen der Temperatur, aber andere Geräte sind auch über 40° Umgebung hinaus spezifiziert und hängen sich nicht dauernd auf. Hab langsam keinen Bock mehr.

Ich hab meine Internet-Anbindung per Draytek Vigor und OPNsense und alles auf LACP plus VLANs. Was Fritz-Geräte noch bei mir tun:

- WiFi: Fritzbox 7590 plus zwei Repeater 1200 (drahtlos), um alle Winkel der Wohnung und den Balkon abzudecken
- Telefonie: 2 DECT Handapparate (Fritzfon), die ich gerne behalten würde, Uplinks DTAG "Festnetz" und meine Firmen-Starface
- 1 DECT 200 und 1 DECT 210 - die messen den Stromverbrauch des Home Lab und die Produktion der Balkon-PV

Bei WiFi ist Unifi ja quasi gesetzt - oder? Controller in einer VM laufen lassen wäre kein Problem, hab genug Infrastruktur dafür. Aber wie mache ich dann Telefonie und die Strom-Messung.

Ich bin prinzipiell für alles zu haben, wobei es natürlich schön wäre, so wenig verschiedene Plattformen wie möglich integrieren zu müssen.

Home Assistant vorhanden.

Viele Grüße und danke,
Patrick

Pages: [1] 2 3 ... 6