Topics

Hallo,
wir versuchen einer Gruppe von VPN-Benutzern feste IP-Adresse über CSO in OpenVPN zuzuweisen.
Wenn wir eine beliebige IP-Adresse, die sich im Server-Range befindet und nicht bereits in Benutzung ist, unter "IPv4 Tunnel Network" eintragen, baut sich das VPN nicht mehr auf.
Also z.B. nehme ich die 10.123.234.200/32 als "IPv4 Tunnel Network" und die "Server (IPv4)" lautet 10.123.234.0/24.
Ansonsten hat der Eintrag noch einen Namen und einen passenden CN. Alle anderen Optionen sind leer.
Was übersehe ich?
Vielen Dank für die Unterstützung.
Ralf

Hi,
manual outbound NAT rules no longer work since the update to 25.7.3.
Update _4 has at least ensured that automatic outbound NAT rules work.
But this means we can only work via one public IP address, which causes a number of problems.
Is there anything we can do as a workaround?
Thank you very much for your support.
Cheers,
Ralf

Hallo,
wir testen gerade Wireguard und das funktioniert soweit sehr gut.
Leider habe ich aktuell ein Problem.
Der Zugriff über Wireguard auf interne IP-Adressen funktioniert einwandfrei. Wenn wir nun einzelne öffentliche IP-Adressen hinzufügen, werden diese zwar im Routing ordentlich angezeigt, sind aber nicht erreichbar.
Firewall und NAT sind soweit korrekt eingestellt. Beim Outbound-NAT habe ich auch schon alles mögliche ausprobiert.
Traceroute zeigt nur "Zeitüberschreitung der Anforderung"
Hat jemand eine Idee?
Danke für die Unterstützung.

Ich hatte zwei Abstürze einer virtualisierten OPNsense. Auf der Konsole kam noch die Meldung:

arprequest_internal: cannot find matching address

Ich habe danach recherchiert, konnte aber keine Lösung dazu finden.

Der Fehler tritt erst seit heute auf. Einzige Änderung ist das Update auf die 25.1.3

Vielen Dank für die Unterstützung.

Hallo,
seit dem Update auf die Version 25.1.3 startet der HAProxy nicht mehr. Hinweise in den Logdateien kann ich nicht finden.

Wenn ich in der Shell starte kommt die Meldung:
Starting haproxy.
/usr/local/etc/rc.d/haproxy: WARNING: failed to start haproxy

Die Konfiguration ist noch da und seit dem letzten Neustart auch unverändert.

Deinstallation des Plugins bringt keine Änderung.

haproxy -c -f /usr/local/sbin/haproxy
[NOTICE]   (77006) : haproxy version is 3.0.8-6036c31
[NOTICE]   (77006) : path to executable is /usr/local/sbin/haproxy
[ALERT]    (77006) : config : parsing [/usr/local/sbin/haproxy:1]: unknown keyword 'ELF␂␁␁' out of section.
[ALERT]    (77006) : config : parsing [/usr/local/sbin/haproxy:1]: Stray NUL character at position 9.
[ALERT]    (77006) : config : Error(s) found in configuration file : /usr/local/sbin/haproxy
[ALERT]    (77006) : config : Fatal errors found in configuration.

Ich komme hier gerade nicht weiter.

Vielen Dank für Eure Unterstützung.

Gruß
Ralf

We have already had the problem on several systems that the Postfix service could no longer be started after updating to version 25.1.2.
After a analysis, we solved the problem by uninstalling and reinstalling the Postfix plugin. This worked on all systems so far.

Hallo,
ich komme mit DHCPv6 irgendwie nicht weiter. Ich habe bereits verschiedene Anleitungen durchgelesen und alle möglichen Einstellungen getestet, es will aber nicht funktionieren.
Wenn ich alle Adressen manuell vergebe funktioniert es.
IPv6 auf dem WAN-Interface ist fein.
Wenn ich die LAN-Interfaces auf "Track Interface" stelle und "Allow manual adjustment of DHCPv6 and Router Advertisements" aktiviere, kommt im DHCPv6 dir Meldung:
"No available address range for configured interface subnet size.". Eine Suche nach dieser Meldung bringt mich leider auch nicht weiter.
Wenn ich die IPv6-Adressen auf dem Device manuell einstelle und entsprechende Einstellungen im DHCPv6 vornehme, geht das Setup ohne Fehler durch, die Clients holen sich aber keine IP-Adressen.
Hat jemand einen Link zu einer Anleitung, welche sicher funktioniert und alle Einstellungen berücksichtigt?
Vielen Dank.

Hi,
I have a problem with the configuration of HAProxy.
I manage to address only one target server per TCP port, despite different domains and IP addresses.
Example:
1. server
public IP address: 123.123.123.1
internal IP address: 192.168.1.1
DNS host1.bla.blubb
Port 443
2. server
public IP address: 123.123.123.2
internal IP address: 192.168.1.2
DNS host2.bla.blubb
Port 443
If both servers are active in HAProxy only one of them is reachable. But both work separately if only one of the public services is active.
I have already tried various settings, but usually this only worsens the result.
Currently I have set the Condition Type to "SNI TLS extension matches (TCP request content inspection)".
I don't know what else I'm missing and would be very grateful for some assistance.
Greetings
Ralf

Hallo,
ich habe in OpenVPN die Option "Redirect Gateway" ausgewählt, so dass sämtlicher Traffic über das VPN geht. Leider kann ich trotz entsprechender Einstellungen in der Firewall und im NAT keine Ziele im WAN erreichen, irgendwo habe ich also noch einen Knoten.
In den Firewall-Logs sehe ich, dass der Traffic ankommt und erlaubt ist, aber es wird irgendwie nicht geroutet.
Bei einem Traceroute kommt der erste Ping noch an der Firewall an, danach kommen nur noch Timeouts, also vermute ich, dass NAT nicht funktioniert.
Hat jemand einen Hinweis?
Vielen Dank

Ich habe aktuell das Problem, dass sich auf einem System IPsec nur über den Befehl
/usr/local/sbin/ipsec start
starten lässt. Danach wird auch die Statuszeile mit restart bzw. stop service angezeigt. Der Start Service Button hat keine Funktion.
Im "Status Overview" werden keine Tunnel angezeigt.
Die konfigurierten Tunnel funktionieren auch nicht.
Das Problem trat bereits bei der 22.7 auf. Ich habe jetzt auf die 23.1 aktualisiert, der Fehler bleibt aber bestehen.
Tunnel auch bereits mehrfach gelöscht und neu angelegt.
Jemand eine Idee?
Fragen dazu?
Danke für die Unterstützung.

I tried to configure Postfix and TLS, but got lost connection messages:

postfix/smtpd[22661]   disconnect from mail-ej1-f53.google.com[209.85.218.53] ehlo=1 starttls=0/1 commands=1/2   
postfix/smtpd[22661]   lost connection after STARTTLS from mail-ej1-f53.google.com[209.85.218.53]   
postfix/smtpd[22661]   connect from mail-ej1-f53.google.com[209.85.218.53]

Messages sent from Gmail got the info: 454 4.7.0 TLS not available due to local problem

I think it's an issue by the certificate, but I can't find info, how to configure right.

Hallo,

ich habe das Problem, dass die Übertragung über IPsec zu Fehlern führt, da größere Datenpakete nicht fragmentiert werden. Der Fehler tritt immer auf, wenn mindestens eine OPNsense-Firewall mit verwendet wird. Bei anderen Firewalls untereinander (Cisco, Sophos SG oder XG) habe ich das Problem nicht. Auch von OPNsense zu OPNsense tritt das Problem auf.

Pakete bis zu 1394 Bytes gehend durch, alles andere wird verworfen. Es betrifft auch nur die IPsec-Verbindungen alle anderen Verbindungen funktionieren fehlerfrei.

Ich habe mir jetzt schon einen Wolf gesucht, finde aber keine hilfreichen Hinweise.

Hat jemand eine Idee? Kann ja eigentlich nur eine Kleinigkeit sein.

Vielen Dank für die Unterstützung.

Hallo,

ich habe ein Problem mit der Multiwan-Konfiguration. Ich habe mich nach bestem Wissen an folgenden Anleitungen

https://docs.opnsense.org/manual/multiwan.html
https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN (Dank an Werner Fischer)

orientiert und alle Einstellungen mehrfach überprüft, nur leider funktioniert das nicht so, wie ich es mir vorstelle.

Wir haben zwei Internetverbindungen, 1 x Telekom DSL über Telekom-Router und 1 x Vodafone Kabel mit Fritz!Box, jeweils mit einer festen IP-Adresse.

Eingestellt habe ich folgendes:

- jeweils die OPNsense-Firewall als "Exposed Host" konfiguriert
- zwei Gateways eingerichtet
  WAN1_GWv4 (active) WAN1 IPv4 100 (upstream) 192.168.1.201 8.8.8.8 ~ ~ ~ Online WAN1_GWv4
  WAN2_GWv4              WAN2 IPv4 100 (upstream) 10.12.0.1     9.9.9.9 ~ ~ ~ Online WAN2_GWv4
- Gateway-Group eingerichtet
  Internet    Tier 1    WAN2_GWv4, Online
      Tier 2    WAN1_GWv4, Online
- DNS-Server eingerichtet
- Policy-basiertes Routing eingerichtet
   IPv4 TCP    10.12.1.25    *    *    25 (SMTP)    WAN1_GWv4
   IPv4 *          *       *    *       *       Internet
- Option "Sticky Connections" aktiviert

Was funktioniert:
- allgemeines Loadbalancing ausgehend
- gezieltes Routing nach außen, also z.B.
  - dass der Port 25 ausgehend über die Telekom-Leitung rausgeht
  - dass ein Traceroute auf eine bestimmte Adresse über einen definierten Port rausgeht
  - dass man gezielt einen Speedtest für eine der Leitungen durchführt

Was funktioniert nicht:
- gezieltes Ansprechen von WAN2 von außen

Beispiele hierfür:
Offene Ports auf der OPNsense sind meist nur über WAN1 erreichbar
Der Versuch ein IPsec-VPN zu WAN2 mit der öffentlichen IP-Adresse aufzubauen funktioniert manchmal, aber eben nicht stabil.

Ping zur öffentliche IP-Adresse funktioniert (landet bei der Fritz!Box) und von innen nach außen geht es auch, die Leitung ist also vorhanden.

Wahrscheinlich habe ich nur irgendwo einen Denkfehler, finde ihn aber leider nicht.

Ich liefere mal noch ein paar Screenshots nach, wenn ich das hinbekomme.

Vielen Dank für die Unterstützung.

Ralf