Topics

Hallo Leute

Ich habe auf meiner OPNSense NGINX als Reverse Proxy am laufen.
Dahinter verbergen sich die Synology Apps (Photo, drive, notes).

Nun funktioniert der Zugriff generell gut. Jedoch habe ich gewisse HTTP 405 wenn ich die WAF Rules aktiviere.

Ich habe versucht, anhand der Logs eine Whitelisting Rule zu definieren, jedoch erfolglos.

Im Netz habe ich keine Hilfestellung gefunden und wäre froh wenn mir jemand aushelfen könnte, bzw mir den Learning Mode erklären könnte.

Logs:

*4130 NAXSI_FMT: ip=X.X.X.X&server=url.ch&uri=/webapi/entry.cgi/SYNO.Core.Desktop.PersonalUpdater&config=block&rid=e50283b79324242d18e03a23d45055bb&cscore0=$policyd0a48e979a7c4f7a9eb7172fb4a36f03&score0=8&zone0=URL&id0=1000&var_name0=&zone1=BODY&id1=1000&var_name1=api, client: X.X.X.X, server: url.ch, request: "POST /webapi/entry.cgi/SYNO.Core.Desktop.PersonalUpdater HTTP/2.0", host: "url.ch", referrer: "https://url.ch/?launchApp=SYNO.Foto.Sharing.AppInstance&app_name=SYNO.Foto.AppInstance&photos_action=external_login&folderId=-1&alias=photo"

Hey Leute

Icha habe eine spezifische Anfrage, eventuell gibt es auch elegantere Lösungen hierfür.
Jedoch bin ich zum Thema nginx noch eher anfänger und wäre um inputs froh.

Setup:
Ich nutze die OPNSense als reverseproxy für einen Service "seite.com/eingang/"

Funktioniert auch super.
Jedoch möchte ich die Default Pages (html files) unter " /usr/local/etc/nginx/views " damit keine Infos bezüglich OPNSense (Logo/TExt) angezeigt werden.

Vor dem Update habe ich die Sites verändert.
Nun, wie angenommen, sind die Sites nach dem Update wieder zurückgesetzt.

Weiss jemand wo ich in der Config eine andere Default Page referenzieren kann oder wie ich die Seite permanent ändern kann?

Gruss
JellyB

Hallo Leute

Ich habe einen kleinen Skript der mir erlaubt ein Backup auf mein NAS zu transferieren.
Da ich gelegentlich etwas per CLI verändere, möchte ich daher vorher die Config sichern.

Dafür habe ich folgenden Befehl der ich per bash aufrufe:

alias BACKUP="bash /home/XXX/bin/backup.sh"

Dies funktioniert aber nur solange ich eingeloggt bin, danach verschwindet der Alias wieder.

Ich habe schon versucht dies per ~/.bashrc einzubinden, wobei die Datei standardweise nicht vorhanden ist und leider erfolglos bleibt.

Hat jemand einen Tipp?

LG
Jelly

Hey Leute

Seit kurzem funktioniert mein IPSec Tunnel für S2S nicht mehr.

Meldungen wenn ich den per CLI starten möchte:

root@OPN1:~ # /usr/local/sbin/ipsec start
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Starting strongSwan 5.9.10 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
no files found matching '/usr/local/etc/ipsec.conf'
failed to open config file '/usr/local/etc/ipsec.conf'
unable to start strongSwan -- fatal errors in config

Phase1 kommt hoch aber Phase2 bleibt irgendwie aus...

Hatte jemand letztes das gleiche Problem, bzw. kann mir helfen das zu troubleshooten?

Alles auf dem aktuellen Stand von 23.1.7_3


Nachtrag:

Ich glaube die Logs sind irrelevant.
Zur Zeit sehe ich kein Traffic auf dem VTI. Wenn ich von meinem LAN Interface auf der FW Richtung VTI Interface pinge wird dies auf dem WAN interface angezeigt.

Danke
Jelly

[192.168.2.1]

Hallo zusammen

Ich habe nun einige Zeit investiert und mehrere Stunden Troubleshooting hintermir. Jedoch ohne Erfolg.
Folgendes Szenario.

Ich habe 2 Standorte welche mit einem IPSec S2S Tunnel verbunden sind.
Der Zugriff zwischen den 2 LANs über den S2S Tunnel funktioniert tadellos.

Jedoch kann ich nicht von LAN1 auf den DSL Router von Standort2 zugreifen und umgekehrt.

Zur Veranschaulichung:

Code Select Expand

                                                                                                                   
                                                                                                                   
                                                                                                                   
+--------------+                   Internet                +--------------+                                       
|  Standort1   | ----------------------------------------- |  Standort1   |                                       
|  DSL Router1 |                                           |  DSL Router1 |                                       
+--------------+                                           +--------------+                                       
        | 192.168.1.1/24                                           | 192.168.3.1/24                               
        |                                                          |                                               
        | 192.168.1.2/24                                           | 192.168.3.2/24                               
  +----------+                                               +----------+                                         
  |          |                IPSEC Tunnel                   |          |                                         
  | OPNSense1|      -------------------------------------    |OPNSense2 |                                         
  |          |      10.10.12.2                    10.10.12.1 |          |                                         
  |          |                                               |          |                                         
  +----------+                                               +----------+                                         
       |  192.168.2.1/24                                          |  10.10.1.1/24                                 
       |                                                          |                                               
       |                                                          |                                               
+---------------+                                          +---------------+                                       
|    LAN1       |                                          |    LAN2       |                                       
|192.168.2.0/24 |                                          | 10.10.1.0/24  |                                       
|               |                                          |               |                                       
+---------------+                                          +---------------+                                       




Ich habe schon diverse Packet Traces und Firewall Logs analysiert.
Folgender Usecase:
Ping von
Client1: 192.168.2.181
Destination: 192.168.3.1

Strecke:
192.168.2.181 -> 192.168.2.1 -> 10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1
und zurück für den Echo Reply. (Fett sind die Gateways)

Funktioniert nicht. Laut Packet Trace bleibt der Echo Reply von WAN Interface von Standort2 und danach auf dem IPSec Interface von Standort 2 nicht mehr sichtbar.

Wenn ich nun folgendes versuche klappt es jedoch ohne Probleme

Ping von:
10.10.12.2
Destination: 192.168.3.1

Strecke:
10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1


Technisch gesehen habe ich eine Route auf der OPNSense2 konfiguriert:
Network: 192.168.2.0/24; Gateway IPSEC_GW - 10.10.12.1

Hat jemand eine Idee wo hier das Problem liegen könnte?

Gruss & danke Jelly

[Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow]

Hallo allerseits
Ich habe seit längerer Zeit zwei Standorte mit jeweils einer OPNSense auf einem APU Board erstellt und funktionierte bis jetzt tadellos.
Bis anhin nutze ich Wireguard als VPN und zum jeweiligen Standort zu verbinden.
Jetzt möchte ich allerdings die beiden FW per Wireguard als S2S VPN konfigurieren und laut Dokumentation von OPNSense sollte ja das kinderleicht sein.

Ich habe also eine neue WG Instanz erstellt (wg1) und die jeweiligen local und endpoints eingerichtet. (theoretisch das gleiche wie bei der wg0 Instanz nur mit anderen listener Ports.
Jedoch hatte ich beim ersten mal gewisse Fehler und habe darauf hin die WG1 Instanz nochmals komplett entfernt.

Nun beim zweiten Mal, habe ich die Instanz nochmals sauber aufgesetzt nur leider sehe ich dann keine Instanz, kein WG Interface (ich kann auch keines zuweisen weil es in der Liste nicht erscheint) und auch keine FW Rules für WGS2S / WG1 im Dashboard bzw. im "List Configuration" Tab.

Nach mehrmaligen Reloaden der Büchse und des WG Service hat sich leider nichts verändert.
Ich sehe über die Shell folgende Fehlermeldung wenn ich den WG Service neu starte:

# service wireguard start
wg-quick: `wg0' already exists

• ifconfig wg create name wg1
  [!] Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow userspace implementation.
  
• wireguard-go wg1
  ┌──────────────────────────────────────────────────────┐
  │                                                      │
  │   Running wireguard-go is not required because this  │
  │   kernel has first class support for WireGuard. For  │
  │   information on installing the kernel module,       │
  │   please visit:                                      │
  │         https://www.wireguard.com/install/           │
  │                                                      │
  └──────────────────────────────────────────────────────┘
  
• wg setconf wg1 /dev/stdin
  
• ifconfig wg1 inet 10.10.12.2/24 alias
  
• ifconfig wg1 mtu 1420
  
• ifconfig wg1 up
  
• route -q -n add -inet 10.10.12.2/32 -interface wg1
  
• rm -f /var/run/wireguard/wg1.sock
  
  Hat jemand das gleiche Problem oder eine Ahnung wie ich das lösen kann?
  
  OS: OPNsense 22.7_4