Topics

1

Virtual private networks / Any chance to get "OpenVPN Connect v3" work with the OPNsense VPN server?

« on: December 06, 2022, 01:10:08 pm »

Hi,
I ve configured VPN on OPNsense and I do get successful VPN connections with the clients "openvpn" on Debian 10 and "OpenVPN GUI 2.x" on Win 11. As Win 10 refuses to install OpenVPN GUI 2.x I tried to use the newer client version "OpenVPN Connect v3" on my Win10 pc. But I get the error "EPKI_ERROR External Certificate Signing Failed". Here is the connecting log:

Code: [Select]

[Dec 6, 2022, 12:39:33] OpenVPN core 3.git::d3f8b18b win x86_64 64-bit built on Mar 17 2022 11:42:02
[Dec 6, 2022, 12:39:33] Frame=512/2048/512 mssfix-ctrl=1250
[Dec 6, 2022, 12:39:33] UNUSED OPTIONS
1 [persist-tun]
2 [persist-key]
6 [resolv-retry] [infinite]
8 [lport] [0]
13 [pkcs12] [my_p12_file.p12]
[Dec 6, 2022, 12:39:33] EVENT: RESOLVE
[Dec 6, 2022, 12:39:33] Contacting my_server_ip:1194 via UDP
[Dec 6, 2022, 12:39:33] EVENT: WAIT
[Dec 6, 2022, 12:39:33] WinCommandAgent: transmitting bypass route to my_server_ip
{
"host" : "my_server_ip",
"ipv6" : false
}

[Dec 6, 2022, 12:39:33] Connecting to [my_server_ip]:1194 (my_server_ip) via UDPv4
[Dec 6, 2022, 12:39:33] EVENT: CONNECTING
[Dec 6, 2022, 12:39:33] Tunnel Options:V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client
[Dec 6, 2022, 12:39:33] Creds: UsernameEmpty/PasswordEmpty
[Dec 6, 2022, 12:39:33] Peer Info:
IV_VER=3.git::d3f8b18b
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.6-2752
IV_SSO=webauth,openurl,crtext

[Dec 6, 2022, 12:39:33] EVENT: EPKI_ERROR External Certificate Signing Failed
[Dec 6, 2022, 12:39:33] Client exception in transport_recv_excode: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:0406B07A:rsa routines:RSA_padding_add_none:data too small for key size / error:141F0006:SSL routines:tls_construct_cert_verify:EVP lib
[Dec 6, 2022, 12:39:33] EVENT: DISCONNECTED

One year ago a user asked the same question in the openvpn forum, but yet no solution => https://forums.openvpn.net/viewtopic.php?t=32717.

Is there any chance to get the Connect-Client work with VPN on OPNsense? If not, isn't it about time that both teams OPNsense and OpenVPN communicate with each other to fix this problem?

2

German - Deutsch / OpenVPN über virtuelle IP ?

« on: November 14, 2022, 08:12:04 pm »

Hallo,

ich habe derzeit eine Backup-Firewall eines HA-Setups für einen schrittweisen Umzug an einem anderen Standort untergebracht und die neuen IP-Adressen eingetragen. Eine VPN-Verbindung über die WAN-IP funktioniert, aber nicht über die WAN-VIP. Die WAN-VIP kann aber angepingt werden und wird als Carp-Master im Dashboard angezeigt. Was war noch einmal die Voraussetzung, damit eine VPN-Verbindung auch über die virtuelle IP funktioniert? Muss da irgendwo noch eine Regel eingetragen werden? Eine VPN-Verbindung über die VIP der Master-Firewall am alten Standort funktioniert hingegen. Deshalb bin ich da nun etwas verwirrt. Danke für eine evtl. Hilfestellung!

3

German - Deutsch / HA Update erst auf Backup-FW dann auf Master-FW möglich?

« on: October 18, 2022, 03:57:07 pm »

Hi,
ich möchte gerne ein Update von opnsense im HA Cluster in meiner virtuellen Umgebung durchspielen. Dazu habe ich folgende Anweisung vorliegen:

1. Aktualisieren Sie die Backup-Firewall (Firewall 2) und warten Sie, bis diese wieder online ist.
2. Wählen auf der primären Firewall unter Firewall ‣ Virtual IPs ‣ Status den Punkt Enter Persistent CARP Maintenance Mode.
3. Sobald Firewall 2 zum MASTER wurde, überprüfen Sie ob alle Dienste wie DHCP, VPN, NAT nach dem Update weiterhin korrekt funktionieren. Für den unwahrscheinlichen Fall, dass das Firewall-Update zu Problemen bei bestimmten Diensten führte, können Sie wieder auf die ursprüngliche Firewall schalten bevor Sie dort das Update eingespielt haben.
4. Wenn alle Dienste wie gewünscht nach dem Update funktionieren, aktualisieren Sie Firewall 1 und wählen Sie danach Leave Persistent CARP Maintenance Mode.

Das Problem ist aber nun, dass meine Backup-Firewall überhaupt keine Verbindung zum Internet hat, wenn sie sich im Backup-Status befindet! Erst, wenn sie Master geworden ist, bekomme ich darüber ne Verbindung zum Netz. Punkt 1 kann ich so gar nicht durchführen.

Ist es normal, dass die Backup-FW im Backup-Status keine Verbindung zum Netz hat? Wenn ja, wie ist eine Aktualisierung ohne Ausfall möglich? 

Bei mir ist zum Testen Windows der Host, dann Virtualbox mit einer VM für FW1, einer VM2 für FW2 und einer VM für Linux, die über die FWs verbunden ist.

4

Virtual private networks / OpenVPN Client und Port-Forwarding out

« on: February 22, 2021, 05:16:30 pm »

Hallo,

ich habe OpnSense und OpenVPN so konfiguriert, dass sich Clients per VPN über das Internet ins Firmennetz verbinden können. Nun würde ich das gerne so erweitern, dass ein VPN-Client bei bestehender VPN-Verbindung eine SSH-Verbindung zu einem anderen externen Server herstellen kann, wenn dieser einen bestimmten Port der Firewall adressiert, weil nur die WAN-IP der Firewall bei dem externen Server freigeschaltet sein darf. 

Für die VPN-Verbindung muss ja unter Firewalls/Rules/OpenVPN eine Regel für den Zugriff vom VPN Netz auf das lokale Netzwerk der Firewall erstellt werden (VPN-Netz direction in). Meine Frage ist nun, ob ich an dieser Stelle eine weitere Regel für den Zugriff nach außen erstellen muss, also VPN-Netz direction out? Oder muss diese Regel unter Firewall/NAT/Outbound untergebracht werden (VPN-Netz an WAN-Address)?

Bei meinem Test-System hat die Einstellung für das Port-Forwarding funktioniert, alledings ohne VPN. Bei dem Real-System mit VPN funktionerte es nicht, deshalb kann es nur an der fehlenden Regel für das VPN-Netz liegen.

Gruß
Thomas

5

German - Deutsch / [HA-Setup] Frage zu WAN-OUTBOUND bei Backup-Server

« on: September 03, 2020, 04:25:37 pm »

Hallo,
ich habe zwei Firewalls, als HA-Setup aber noch unvollständig. Auf der 1. FW funktioniert der ausgehende Traffic. OUTBOUND ist an die virtuelle Public-IP wie folgt gebunden.

Code: [Select]

Firewall: NAT: Outbound 1. Firewall

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN 192.168.2.0/24  * * * <VIP WAN/Pulic-IP> * NO

Da auf der 2. FW die virtuelle IP nicht aktiv ist / sein kann, habe ich für OUTBOUND nur WAN-Adresse ausgewählt. Dies scheint der Grund zu sein, warum ich auf der 2. FW nicht raus komme und kein Update durch führen kann. Testweise habe ich dies auf der 1. FW auch so eingestellt, dann funktionierte der ausgehende Traffic auch nicht mehr. Wenn OUTBOUND aber an VIP WAN gebunden sein muss, wie muss ich das denn dann auf dem Backup-Server einstellen, damit ich mal ein Update durchführen kann?

6

German - Deutsch / OpenVPN funktioniert, aber kein direkter Zugriff auf 2. Firewall

« on: August 04, 2020, 09:54:13 am »

Hallo,

ich habe auf einer ersten Firewall "opnsense1" den Service OpenVPN soweit einrichten können, dass ich mich mit dem Netz verbinden kann. Ich habe Zugriff auf die Web-GUI der ersten Firewall, kann die IP anpingen und mich per SSH einloggen. Ich habe zudem auch Zugriff auf die Web-GUI eines HP-Switches, der im gleichen Netz eine eigene IP hat.
Ich habe auf einem zweiten Server OPNSense eingerichtet, der Backup werden soll. Komischerweise kann ich bei einer VPN-Verbindung auf diesen Server nicht direkt zugreifen. ERST, wenn ich mich auf opnsense1 einlogge, kann ich mich auf opnsense2 einloggen, obwohl er sich im selben vLAN befindet. Was kann das denn sein? Erst dachte ich, es liegt vielleicht an der Source-IP, die aus dem Tunnel-Netz stammt, und müsste bereits dafür auch schon eine Regel für den VPN-Traffic erstellen. Aber es gibt doch diese Anti-Lockout-Regel für die Ports 80,443 für das LAN-Interface für jede Source. Warum klappt der direkte Zugriff auf die Web-GUI dann trotzdem nicht?

Hier hangel ich mich zum opnsense2 durch
tbarth@Debian10:~$ ssh -p 222 root@192.168.2.101
*** opnsense1: OPNsense 20.1.9 (amd64/OpenSSL) ***
 LAN (igb0)      -> v4: 192.168.2.101/24
 WAN (igb1)      -> v4: 172.18.0.101/24

  0) Logout                              7) Ping host
  1) Assign interfaces                    Shell
Enter an option: 8

root@opnsense1:~ # ssh -p 222 root@192.168.2.102
*** opnsense2: OPNsense 20.1 (amd64/OpenSSL) ***

 LAN (igb0)      -> v4: 192.168.2.102/24
 WAN (igb1)      -> v4: 172.18.0.102/24

Der zweite Server ist also da.

7

German - Deutsch / VIP WAN kann von außen nicht angepingt werden

« on: July 29, 2020, 02:14:54 pm »

Hallo,

ich beschäftige mich erst seit etwa 2 Wochen mit OPNSense ('20.1.8'). Ich möchte OPNSense auf zwei Supermicros einrichten, um endlich eine alte IP-Cop Firewall abzulösen. Ein gewisses Basis-Verständnis ist also vorhanden. Aber mein Verständnis reicht nicht aus, um ein Problem zu beseitigen, welches beim Testen der Konfiguration auftritt. Ich kann von außen einfach nicht das WAN-Interface über die virtuelle Public-IP anpingen, aber im LAN schon! Und vielleicht kann mir einer von euch sagen, was ich da so falsche mache.
Ich möchte nur ein einfaches Basis-Setup. LAN mit einer handvoll Hosts, OpenVPN über WAN, Portforwarding für bestimmte Source-IPs, Namensauflösung. Einmal konfiguriert und für die nächsten 20 Jahre nicht mehr anfassen

Zur Konfiguration Node 1
#1 (igb0)   LAN (green) 192.168.2.101/24
#2 (igb1)   WAN (red)   172.18.0.101/24
#3 (igb2)   PFSYNC Direct-Cross-Connect   10.0.0.1/24 (noch nicht eingerichtet)

Im WAN 83.125.x.x/24 als virtuelle floating IP (vhid1, freq. 1/0, WAN, CARP)
Im LAN die 192.168.2.1/24 als virtuelle floating IP (vhid3, freq. 1/0, LAN, CARP). Hosts im LAN sollen diese als Gateway/Nameserver nutzen

Outbound-NAT für das WAN
Interface WAN Source 192.168.2.0/24  NAT Address 83.125.x.x

Gateways Single
WAN 83.125.x.1 Default Gateway

Im Rack beim Hoster gab es jetzt nur ein Kabel für den Internetanschluss, wo die alte Firewall dranhing. Deshalb musste ich das über einen kleinen 5Port-Switch lösen, damit ich das parallel einrichten kann. Ich habe also zwei Public-IPs, eine für die alte Firewall und eine zum Testen der neuen Firewall. Die alte Firewall hängt an Port1, die neue Firewall hängt an Port2. Mit einem im LAN angeschlossenen Notebook kam ich ins Internet. Beim Ping auf das WAN-Inteface von außen jedoch keine Antwort.
Auch als ich die Firewall bei mir zuhause an meine Fritzbox anschloss, konnte z.B. die IP 192.168.178.25 (VIP WAN) nicht angepingt werden, obwohl ich in der Netzwerkübersicht der Fritzbox gesehen habe, dass die IP benutzt wird. Hier ist mir nur aufgefallen, dass das Interface, das an der Fritzbox angeschlossen ist, Orange leuchtet (mehrere Kabel ausprobiert). Ich kann nun leider nicht sagen, ob die LED auch schon im Rack beim Hoster Orange leuchtete, da ich das nicht sehen konnte.

Kann man von dieser Beschreibung her schon sagen, was das Problem sein könnte? Oder sind noch weitere Informationen erforderlich?

Über eine Hilfestellung würde ich mich freuen!

Gruß
Thomas B