Topics

Hallo,

normalerweise habe ich meine Sense hinter einer Fritzbox. Da ich jedoch noch ein Zyxel VMG3006-D70A rumfliegen habe und eigentlich die Fritzbox-Funktionen nicht nutze (WLAN mache ich über Ubiquiti/Unifi, VOIP nutze ich nicht - habe Molbilfunkflat, Smarthome ist unabhängig, Faxen nutze ich nicht mehr) wollte ich auch endlich mal das blöde Transitnetz auflösen.

Somit habe ich das VDSL Moden angeschlossen, die aktuellste Telekomfirmware installiert und versucht einzurichten.

VDSL wurde auch schnell gefunden (habe hier jedoch "nur" Regio, da die letzte Maile nicht der Telekom, sondern Netcologne bzw. Plusnet gehört) - siehe Bild vdsl.

Bisher war ibg9 mein Internet, das habe ich nun von der Fritzbox in das Zyxel Modem umgesteckt. Dann habe ich die Einstellungen von DHCPv4 auf PPPoE umgestellt und die Zugangsdaten eingegeben. Doch ich bekomme keine IP zugewiesen (weder wenn ich im Modem VLAN7 einstelle, noch ohne Einstellung).

Mache ich noch was falsch?!? Auch wenn ich die Regeln für raus nicht angepasst habe und auch NAT nicht angepasst habe, so sollte doch wenigstens eine Einwahl erfolgen und eine IP Adresse angezeigt werden, oder?

Meine Einstellungen sind auf Einstellungen1 und einstellungen2 zu sehen.

Hi there,

i want to use ZenArmor on my Home Firewall. On this Firewall i have LAN (igb8) and WAN (igb9) and multiple vlans (vlan.xx) on igb8.

But ZenArmor doesn't support to mix vlans and interfaces - so i have to change the two interfaces to vlans. But there are many rules ans settings on the two interfaces.

That's why i want to ask, how is the easiest way to change from an interface to an vlan?

Or is the only way

• move the LAN address (interface) to an other address in an unused network
• Create the VLAN
• Change every rules and setting manually to the new (vlan-)interface

Thanks a lot for your support.

Ich möchte gerne mein Nextcloud Container absichern, laut dem Forum muss ich die folgenden Konfiguration in meinem Reverseproxy (in dem Falle Caddy) integrieren:

Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"

Könnt ihr mir verraten, wo das wie eingerichtet wird?

Danke für eure Unterstützung.

Fritzbox, OpenWRT und Cisco können das LISP Protocol, kann das auch die OPNsense?

Weitere Infos zu LISP: https://www.heise.de/select/ct/2017/3/1485793895919878

Danke für eure Hilfe :).

Hallo,

ich habe Caddy am laufen mit einigen Domains, was auch wunderbar funktioniert. Zuvor hatte ich all-inkl als DNS anbieter und konnte da den ACME Client für das OPNsense WebUI über DNS Challenge aktualisieren, was ebenfalls prima funktionierte.

Nun musste ich jedoch von All Inkl zu Netcup wechseln - die unterstützen leider keinen DNS Challenge, nun muss ich wieder zum HTTP Challenge zurück und habe da meine Probleme.

Ich hatte gehört, das Caddy nun auch ACME Clientd "durchlassen" kann und nicht selber behandelt.

Das wollte ich gerade mal testen - habe laut der Doku (https://docs.opnsense.org/manual/how-tos/caddy.html#redirect-acme-http-01-challenge) konfiguriert.

Hintergrund ist, das ich gerne von meiner OPNsene ein HTTPS Zertifkat nutzen kann. Dazu dachte ich mir, das ich dann gemäß der Anleitung oben einrichte, habe wie in der Anleitung verstanden und den Bildern angegeben eingerichtet - als IP verwende ich 192.168.177.62 (das ist das WAN Interface zu der Fritzbox mit einem Transitnetzwerk - da ich nicht direkt einwähle sondern ein Netz hinter der Fritzbox nutze). Vor Caddy hatte alles mit dem ACME Client geklappt, habe aber gerade erst gesehen, das die Zertifikate kurz vor dem ablaufen sind.

Könnt ihr einen Fehler sehen, oder stelle ich es mir zu schwer vor und es geht viel einfacher?

Wäre Klasse, wenn ihr mir weiterhelfen könntest.

Ich habe mal die Screenshots der Konfiguration von Caddy angehangen.

Danke für eure Unterstützung :).

Hallo,

ich befasse mich erst seit kurzem mit dem Thema IPv6 und mein Wissen dazu steckt noch in den "Kinderschuhen". Nachdem ich endlich das "meiste" mit IPv6 ans laufen bekommen habe, habe ich jetzt das Problem, das nach der Zwangstrennung zwar mein WAN Interface die "neue" v6 Adresse bekommt, aber nicht die anderen Interfaces - die  "Clients" in den netzen scheinen ihre Adressen zu behalten und können dann zwar noch intern in ihrem Subnetz kommunizieren, aber nicht mehr über die Schnittstellen hinaus, in der Overview bei den Interfaces sehe ich dann, das nur WAN die fe80 UND die "neue" Adresse hat, alle anderen Interfaces haben nur noch ihre fe80 Adressen.

Auch testweise deaktvieren und erneutem aktivieren von IPv6 eines internen Netzes hat nicht geholfen.

Hallo ihr lieben, nachdem ich nun erfolgreich IPv6 im Rechenzentrum (RZ) ans laufen bekommen habe (auch mit der Unterstützung einiger hier im Forum), möchte ich das auch gerne bei mir zuhause im Netz einrichten.

Jedoch war das Setup im RZ einfacher (zumindest, nachdem der Anbieter richtig konfiguriert hatte >:( - hier konnte ich jedoch auf 2 feste IP Bereiche zurückgreifen und habe auch "nur" feste Adressen).

Nun möchte ich IPv6 auch bei mir zuhause ans laufen bringen - hier ist das Setup jedoch einiges Umfangreicher:

• Internetzugang wird durch eine Fritzbox bereitgestellt.
• Ich habe einen Telekom Regio Anschluss, der selber hat kein IPv6 - aber man kann die Option "IPv6-Anbindung mit Tunnelprotokoll verwenden" wählen.
• Alle Adressen/Bereiche sind dynamisch.
• Hinter der Fritzbox sind 2 Gateway - das eine ist eine OPNsense, diese verwaltet mehrere VLANs in denen auch unter anderem Server sind, diese sind derzeit nur über IPv4 NAT veröffentlicht - sollen aber nun auch per IPv6 erreicht werden.
• Das eine Gateway hinter der Fritzbox ist eine UDM Pro und stellt die Defaultverbindung für meine IoT Devices und Smartdevices (Sonos, TV usw.) sowie die WLAN Verbindungen (die meisten davon werden jedoch über die OPNsense verwaltet)
• Wichtig ist mir, das ich mehrere Netze/VLANs habe, diese müssen sich weiterhin erreichen können (Feste Adressen?) und aber auch die Regeln eingehalten werden (z.B. dürfen in Servernetze und Sicherheitsnetze nur bestimmte Ports und Adressen erreicht werden.

Derzeit hat die Fritzbox die folgenden Adressen:
IPv6-Adresse: 2002:5cc7:e9e7:8000:3ea6:2fff:fe3d:705f/64, Gültigkeit: 7088/3488s
IPv6-Präfix: 2002:5cc7:e9e7::/56, Gültigkeit: 7088/3488s

Die OPNsense hat auf WAN die folgenden Adressen:
2002:5cc7:e9e7:0:20c:29ff:fec1:effd/64
fe80::20c:29ff:fec1:effd/64

Die Frage die sich mir nun stellt, ist wie ich die Konfiguration der einzelnen Netze vornehme?
Es sollen ja z.B. einzelne Server aus verschiedene Subnetze sollen diese aus dem Internet erreicht werden können, trotz dynamischer Adressen.

Vielen Dank für eure Unterstützung :).

Hallo, mein haproxy zickt rum und ich würde den gerne noch mal neu machen. Wie kann ich haproxy komplett reseten, das auch alle Rückstände und confidateien gelöscht werden (ähnlich einem apt purge)?

Reicht es wenn ich wie folgt vorgehe?

* Löschen aller Elemente in den einzelnen haproxy-tabs
* Plugin löschen
* Reinstall der Packes haproxy28, os-haproxy und py39-haproxy-cli

Sind dann auch alle Konfigurationsrückstände entfernt? Oder muss ich da auf der Shell noch configdateien (z.B. /etc/...) entfernen?

Danke für eure Hilfe.

P.s.: Ich möchte keine Grundsatzdiskusion auslösen - aber stimmt es, das der haproxy generell ein wenig zickiger auf der Sense ist? Wäre es sinnvoll, einfach http/https auf einen Docker Host mit NPM oder so weiterzuleiten? Mir wäre es am liebsten, wenn es einfach direkt auf der Sense funktioniert - nur wenn es zu instabil ist, dann würde ich eine andere Lösung bevorzugen.

Hallo,

ich komme leider nicht weiter. Ich habe bei meinem Anbieter eine IPv6 Adresse, jedoch nur /64. Somit kann ich ja nicht subnetieren.

Die Adresse ist fest zugeordnet und auf dem WAN Interface (zuzüglich der IPv4 Adresse).

Jetzt habe ich aber einen Server in einem eigenen Netz und natürlich nicht auf der WAN Seite - NAT soll mit IPv6 nicht mehr nötig sein.

Ich verstehe nun nicht, ob ich auf den Dienst zugreifen kann aus dem Internet - auch wenn die auf verschiedenen Schnittstellen / Netzen liegen?!? Brauche ich da kein Routing mehr?

Hallo, ich würde gerne DDNS mit OPNsense einrichten - mit der Fritzbox funktioniert das einwandfrei, nun würde ich das gerne mit der OPNsense hinbekommen.

Probleme:

• Der Anbieter ist nicht hinterlegt, ich weiß leider nicht was ich wo eintragen muss
• Die OPNsense ist hinter der Fritzbox genatet (hat also eine private IP auf dem WAN Interface)

Ich müsste dazu folgende url aufrufen: dyndns.kasserver.com/?myip=<ipaddr>

Könnt ihr mir da weiterhelfen?

Danke für deine Unterstützung.

Hallo,

ich habe eine Problem mit einer Seite. Ich habe mehrere Seiten über OPNsense mit HAProxy veröffentlicht.

Soweit, so gut - nun möchte ich gerne Mailcow installieren auf einem Docker Container. Da ich jedoch nur eine öffentliche IP Adresse habe, muss nun Lets Encrpyt aus dem Container ausgeführt werden, da die Zertifkate auch für andere Dinge wie SMTPS, IMAPS usw. genutzt werden.

Wenn ich jedoch den ACME Client in dem Container starte, kommt ein internal Error - ich vermute mal, das das Deploy nicht durch kommt und vom HAProxy abgefangen wird.

Meine Frage ist nun, kann ich im HAProxy einstellen, das eine bestimmte Site durchgelassen wird und so der ACME Client durchläuft?

Danke für eure Unterstützung.

Hallo liebe Mitstreiter,

ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.

Ich habe einen Wazuh Server in einem VLAN angebunden an meiner OPNsense. Es gibt eine Floating Rule, die Verbindungen zuläßt für TCP/UDP 1514,1515,55000 (Agent und API) zu meinem Wazuh Server.

Wenn ich das Wazuh Agent Plugin auf der OPNsense installiere und einrichte, dann erscheint der Wazuh Agent im Wazuh, jedoch mit der Meldung never connected.

Auf der OPNsense sehe ich in der Datei /var/ossec/var/run/wazuh-agentd.state den Status pending. Somit ist zwar schon mal eine Verbindung da, jedoch scheint das Registrieren nicht richtig zu funktionieren.

Mit nc -zv 192.168.50.10 zu den Ports 1514, 1515, 55000 bekomme ich jeweils die Information "succeded", somit sollte die Verbindung da sein.

Wenn ich die ossec.conf vergleiche mit einem funktioniereneden System, dann sehe ich das diese sich ein wenig unterscheidet - auch nach dem Anpassen von:

Code Select Expand

  <client>
    <server>
      <address>192.168.50.10</address>
    </server>
    <crypto_method>aes</crypto_method>
  </client>


nach:

Code Select Expand

  <client>
    <server>
      <address>192.168.50.10</address>
      <port>1514</port>
      <protocol>tcp</protocol>
    </server>
    <config-profile>debian, debian8</config-profile>
    <crypto_method>aes</crypto_method>
  </client>


und Neustart des Dienstes brachte keinen Erfolg.

Leider kann ich auch in den ossec.log nicht nachschauen, da diese ein Symlink auf sich selber ist und beim Öffnen die Fehlermeldung erscheint, das zu viele redirects verwendet werden.

Wenn ich im Live-Log schaue, dann sehe ich auch keine Verbindungen ankommen.

Nun bin ich mit meinem Latein am Ende, kann mir jemand helfen, oder einen Tipp geben oder hat gar das Wazuh-Agent-Plugin auf der OPNsense laufen?

Danke für eure Hilfe.

Hallo,

ich habe schon mal im englischem Forum nachgefragt, aber keine Lösung bzw. keine weiteren Antworten mehr erhalten.

Deswegen würde ich es mal hier gerne nachfragen mit der Hoffnung, das ihr mir weiterhelfen könnt.

Ausgangslage ist, das ich einige Webanwendungen mit dem HAProxy veröffentliche - unter anderem einige die ich nicht direkt ohne "Schutz" über das Internet direkt erreichbar haben möchte.

Deshalb würde ich gerne diese Seiten schützen - dazu habe ich mehrere Ideen, jedoch weiß ich nicht, welche sich wie realisieren lassen.

a) Benutzerauthentifizierung mit OTP
b) WAF mit 2 FA versehen
c) VPN mit 2 FA und dann nur denn Zugriff aus dem VPN oder LAN

Was könnte wie funktionieren, oder habt ihr gar andere Ideen?

Danke vielmals für eure Unterstützung.

Hallo zusammen,

habt ihr zufällig ein Beispiel oder gar eine Anleitung wie man zwischen zwei OPNsense ein WireGuard VPN einrichtet in der aktuellen Version? Die Doku und auch die YouTube Videos zeigen immer nur die Konfiguration der alten GUI (wo noch aufgeteilt ist zwischen den Tabs mit Local, Endpoints usw.) - die ist anders, als in der neuen GUI.

Weiterhin würde ich gerne wissen, ob WireGuard funktioniert, wenn eine Seite eine dynamische Adresse verwendet? Wenn ich es recht verstanden habe, muss die Adresse auch in das Feld Allowed IPs rein, das nimmt aber keine DNS Namen, sondern möchte IP Adressen, aber die ändern sich ja nach jeder Zwangstrennung.

Danke vielmals für eure Unterstützung.

Hallo, ich kenne mich noch nicht so sehr mit der OPENsense aus - mit den anderen Firewalls, die ich zuvor genutzt hatte, hatte ich auf der Firewall, wenn ich einen Tunnel einrichte auch selber direkt auf den Tunnel zugreifen konnte, nicht jedoch so die OPNsense.

Hintergrund ist, ich habe zwei Netze (Home und RZ). Von den Servern aus kann ich auf die entsprechenden Ressourcen in beiden Netzen zugreifen. In dem Homenetz habe ich meinen WAZUH Server (SIEM). Die Server im RZ können ohne Probleme auf meinen Wazuh Server zuhause zugreifen. Die OPNsense im RZ jedoch nicht, ich wäre davon ausgegangen das die OPNsense auch auf Wazuh zugreifen kann.

Was aber nicht so ist, das VPN und Firewallregeln haben die interne IP der Firewall mit eingebunden. Alles kann problemlos auf Wazuh zugreifen, nur die OPNsense im RZ nicht.

Die Meldung, die ich bekomme ist: ERROR: (1208): Unable to connect to enrollment service at '[192.168.x.x]:1515' (x sind von mir!)

Auf der Shell kann ich weder den Wazuhserver noch die anderen Hosts im Homenetz pringen, ein Tracroute kommen schon sternchen schon nach dem ersten Knoten, die IP vom Tunnel kann ich jedoch pingen. Ein "nc ip 1515" bringt genauso wenig details, auch nicht zu anderen Ressourcen im Home Netz.

Für mich sieht es irgendwie so aus, als wenn die OPNsense selber zwar den Tunnel aufbaut - jedoch nicht selber darauf zugreifen kann.

Ist das Verhalten normal oder muss ich erst noch was einrichten?

Bei der Sophos UTM war das immer problemlos möglich (habe von der UTM zu OPNsense gewechselt).

Danke für eure Hilfe :).

Hallo, derzeit habe ich eine OPNsense 23.7.1 auf VMware, diese funktioniert einwandfrei.

Nun habe ich mir jedoch eine Sophos UTM 230 Rev1 besorgt und würde gerne auf diese Umstellen - was ich mir eigentlich ganz einfach vorgestellt hatte.

Also den neuen LAN Port konfiguriert wie den ESXI LWL Uplink, verbunden - WAN Stecker vom Host auf die Sophos gesteckt und Konfig Ex-/Importiert.

Da vorher andere Netzwerkkarten waren einfach die entsprechenden Ports angepasst (vorher vmx0 bzw. vmx1, jetzt igb0 bzw. igb1).

Zugriff auf die UI ist nun möglich, und auch alle VLAN Interfaceadressen sind aus dem LAN erreichbar und ich sehe auch in den Logs alles.

Doch es kommt dennoch keine Verbindung zustande.Was seltsam ist, die opnsense scheint nun nicht mehr die angebundenen Netze (z.B. VLANs) direkt anzusprechen, sondern schickt den Traffik über das Default Gateway.

Wenn ich die OPNsense jedoch resete und einfach nur mal ein paar LAN Interfaces einrichte, dann sehe ich das der Traffik "intern geroutet wird" und nicht in Richtung default Gateway gesendet wird.

Die Einstellung sehen aber genau so aus, wie in der alten VM Version.

Habt ihr Ideen, was das sein könnte? Muss hier irgendetwas mit diesen Dynamic Gateways oder so eingestellt werden, oder hat die Sophos noch irgendwie Routen auf die alten Interfaces (vmx) angelegt und da die nicht mehr da sind, werden die über das Default Gateway gesendet?

Benötigt ihr mehr Infos und wenn ja, welche?

Danke für eure Hilfe.

Hallo,

ich habe eine mobile VPN Konfiguration welche zuerst "nur" den Zugriff auf mein internes Netz erlaubte - diese funktionierte einwandfrei.

Nun möchte ich jedoch den gesamten Verkehr über diese Verbindung leiten.

Dazu habe ich einen Hacken bei Redirect Gateway gemacht, welcher mir dann die Lokale Netze deaktiviert hat (was ja auch richtig ist). Weiterhin habe ich die Firewallregel angepasst - diese ist wie folgt:

Action: Pass
Interface: OpenVPN
Direction: In
IP Version: 4
Protocoll: Any
Source: VPN Network
Destination: Any
Portrange: Any
Log: Aktiviert

Wenn ich nun die Verbindung starte und eine externe Webseite auf dem Client aufmache und anschließend in die Logs schauen, dann sehe ich wie die DNS Anfragen an die Firewall ok (grün) sind - die HTTPS Anfragen, werden jedoch gar nicht erst angezeigt.

Habe ich noch was vergessen?
Gehen Sie Packete überhaupt ins VPN wenn diese nicht im Log angezeigt werden?

Danke für eure Hilfe.

Hello, i got a question - on my OPNsense i have OTP activated (System > Server > Local + Timebased One Time Password), but i want to create a user with an complex long Password, but without an OTP. Is this possible and if yes, how?

Many thanks for your help :).

Hallo,

ich habe mehrere Seiten über HAProxy WAF veröffentlicht. Jedoch möchte ich gerne das einige Verwaltungsseiten nur intern aufgerufen werden können. Ist es möglich dies zu begrenzen?

Danke für eure Unterstützung.

Hi,

i have two Interfaces (Server vlan0.33 Tag 33 and Security vlan0.50 Tag 50).

Both are allowed via AutoNAT - Internetconnection from Servernetworks works via NAT - but Security not, the settings looks same.