1
Tutorials and FAQs / Re: DDNS with ddclient if you are Double NAT'd guide
« on: June 25, 2021, 12:40:10 am »
thanks
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
21.1 Legacy Series / Re: Wireguard tunnel ping works only every second time!
« on: April 26, 2021, 03:46:42 pm »
do you use "PersistentKeepalive = 60" option?
3
German - Deutsch / SIP Aware OPNsense Dynamische Ports Netcologne
« on: January 19, 2021, 11:52:35 am »
Hallo zusammen,
folgende Hardware ist im Einsatz:
- Netcologne VDSL -> Draytek Vigor Modem -> PPPOE Einwahl macht die OPNsense (OPNsense 20.7.7_1-amd64
- Client ist eine Auerswald TK Anlage
Fehler: Gespräche (ein und ausgehend) brechen fast immer nach 15 Minuten ab (es gibt Ausnahmen)
Auf der OPNsense habe ich laut Netcologne keine Ports weiterleiten müssen. Keine speziellen Firewallregeln eingestellt.
Folgendes Dokument hat uns Netcologne zugestellt (siehe Bild)
Hat jemand einen Tipp?
-- EDIT --
Auf der TK Anlage "Sip Support Update" ausschalten und auf der Firewall "Firewall Optimization" auf "conservative" stellen hat geholfen.
Es sind keine Portweiterleitungen oder Outbound NAT / SipProxy Plugins erforderlich in unserem Fall
folgende Hardware ist im Einsatz:
- Netcologne VDSL -> Draytek Vigor Modem -> PPPOE Einwahl macht die OPNsense (OPNsense 20.7.7_1-amd64
- Client ist eine Auerswald TK Anlage
Fehler: Gespräche (ein und ausgehend) brechen fast immer nach 15 Minuten ab (es gibt Ausnahmen)
Auf der OPNsense habe ich laut Netcologne keine Ports weiterleiten müssen. Keine speziellen Firewallregeln eingestellt.
Folgendes Dokument hat uns Netcologne zugestellt (siehe Bild)
Hat jemand einen Tipp?
-- EDIT --
Auf der TK Anlage "Sip Support Update" ausschalten und auf der Firewall "Firewall Optimization" auf "conservative" stellen hat geholfen.
Es sind keine Portweiterleitungen oder Outbound NAT / SipProxy Plugins erforderlich in unserem Fall
4
Tutorials and FAQs / Re: Check_MK Agent setup
« on: December 12, 2020, 02:44:16 pm »2. Download the agent:Code: [Select]curl "http://git.mathias-kettner.de/git/?p=check_mk.git;a=blob_plain;f=agents/check_mk_agent.freebsd;hb=HEAD" -o /opt/bin/check_mk_agent
Link is down. I just downloaded the agent from checkmk monitoring agent site:
i.e.: http://yourcheckmkserver/yoursite/check_mk/agents/check_mk_agent.freebsd
Thank you for this post, everything is working
5
20.7 Legacy Series / Re: Where disable remote syslog?
« on: October 19, 2020, 01:45:33 pm »
same issue here.
I edited /usr/local/etc/syslog-ng.conf.d/legacy-remote.conf and now no more errors:
I edited /usr/local/etc/syslog-ng.conf.d/legacy-remote.conf and now no more errors:
Code: [Select]
destination d_legacy_remote {
#network("192.168.14.241" transport("udp") port(514) ip-protocol(4) );
};
### ALL ####
log {
source(s_all);
destination(d_legacy_remote);
};
6
20.1 Legacy Series / Re: OPNsense 20.1 - problems with DNS
« on: May 20, 2020, 10:35:48 am »
Hello,
thank you for that solution, your DNS Servers are working fine.
Why mine stopped working after the upgrade, I don't know...
thank you for that solution, your DNS Servers are working fine.
Why mine stopped working after the upgrade, I don't know...
7
20.1 Legacy Series / Re: OPNsense 20.1 - problems with DNS
« on: May 19, 2020, 09:39:23 pm »
Hi, I just upgraded two routers to 20.1.6 and my DNS stopped working too.
My DNS Config:
If I delete this entries it is working again. See configuration screenshot.
This issue occurred after the upgrade on two OPNsenses with different ISPs and different hardware.
My DNS Config:
Code: [Select]
ssl-upstream: yes
forward-zone:
name: "."
forward-addr: 46.182.19.48@853
forward-addr: 146.185.167.43@853If I delete this entries it is working again. See configuration screenshot.
This issue occurred after the upgrade on two OPNsenses with different ISPs and different hardware.
8
German - Deutsch / Re: Wireguard Ipv6 road warrior iphone
« on: November 20, 2019, 09:52:59 pm »
Hallo Daniel,
super, vielen Dank. Das wird schon vermutlich die Lösung sein!
Ich habe dem Client und im Server Endpoint einfach ein ipv6 /128 aus einem /64 gegeben, und es funktioniert!
ALso ohne NPTv6
super, vielen Dank. Das wird schon vermutlich die Lösung sein!
Ich habe dem Client und im Server Endpoint einfach ein ipv6 /128 aus einem /64 gegeben, und es funktioniert!
ALso ohne NPTv6
9
German - Deutsch / Wireguard Ipv6 road warrior iphone
« on: November 17, 2019, 06:38:21 pm »
Hallo,
ich habe Wireguard auf der OPNsense konfiguriert und kann auch normal mit ipv4 über mein iPhone + Wireguard ins Internet.
Ping6 funktioniert nur intern (iphone -> OPNsense)
Ich bekomme aber kein ping6 von meinem iPhone ins WAN.
Hat da jemand schon Erfahrungen gemacht?
Die Firewall blockiert nicht.
Outbound NAT macht ja für v6 keinen Sinn oder?
(Ich habe dem iPhone eine ipv6 Adresse aus meinem ipv6 Subnetz gegeben)
Ich vermute da fehlt eine Route oder?
ich habe Wireguard auf der OPNsense konfiguriert und kann auch normal mit ipv4 über mein iPhone + Wireguard ins Internet.
Ping6 funktioniert nur intern (iphone -> OPNsense)
Ich bekomme aber kein ping6 von meinem iPhone ins WAN.
Hat da jemand schon Erfahrungen gemacht?
Die Firewall blockiert nicht.
Outbound NAT macht ja für v6 keinen Sinn oder?
(Ich habe dem iPhone eine ipv6 Adresse aus meinem ipv6 Subnetz gegeben)
Ich vermute da fehlt eine Route oder?
10
German - Deutsch / Re: Nur private Netze erlauben...
« on: November 15, 2019, 05:53:33 pm »
Oder du packst deine "Ohne Internet Geräte" in einen Alias und erlaubst dann nur das lokale Netz + verbietest Verbindungen ins WAN. Du kannst auch mal mit der Funktion "Destination / Invert" spielen.
Oder du nimmst den Geräten manuell das Gateway weg.
Oder du nimmst den Geräten manuell das Gateway weg.
11
19.1 Legacy Series / Re: unbound: error: outgoing tcp: bind: Can't assign requested address
« on: April 03, 2019, 03:37:22 pm »
Thank you!
12
19.1 Legacy Series / Re: unbound: error: outgoing tcp: bind: Can't assign requested address
« on: April 03, 2019, 12:25:09 pm »
Hey chemlud,
thank you for helping me.
OPT1 is my WAN iface, yes.
whith the following configuration it works without errors:
Maybe its because of ipv6 and pppoe...
Do you think 9.9.9.9 is better than 8.8.8.8 or 1.1.1.1?
Because quad9 DNS is located in the US, I have longer roundtrip for each request.
thank you for helping me.
OPT1 is my WAN iface, yes.
whith the following configuration it works without errors:
Code: [Select]
ssl-upstream: yes
forward-zone:
name: "."
forward-addr: 9.9.9.9@853
Maybe its because of ipv6 and pppoe...
Do you think 9.9.9.9 is better than 8.8.8.8 or 1.1.1.1?
Because quad9 DNS is located in the US, I have longer roundtrip for each request.
13
19.1 Legacy Series / unbound: error: outgoing tcp: bind: Can't assign requested address
« on: April 03, 2019, 11:33:12 am »
Hello,
my system:
OPNsense 19.1.4-amd64
FreeBSD 11.2-RELEASE-p9-HBSD
OpenSSL 1.0.2r 26 Feb 2019
I get a lot of this error messages, how can I debug them?
I try to set the interfaces manually but I get the same error, doesnt matter which interface I choose.
my system:
OPNsense 19.1.4-amd64
FreeBSD 11.2-RELEASE-p9-HBSD
OpenSSL 1.0.2r 26 Feb 2019
I get a lot of this error messages, how can I debug them?
Code: [Select]
unbound: [25079:3] error: outgoing tcp: bind: Can't assign requested addressI try to set the interfaces manually but I get the same error, doesnt matter which interface I choose.
14
German - Deutsch / Re: Ipv6 über OpenVPN im Netzwerk verteilen, fehlende Route?
« on: December 06, 2018, 10:16:43 am »
Ok ich habe das Problem lösen können.
Für alle:
auf dem OpenVPN Server das v6 Subnetz in /usr/local/etc/openvpn/ccd eintragen
Einfach nach "client-config-dir ccd" googlen...
Sonst kann der OpenVPN Server die Pakete nicht routen und wirft die ganze Zeit "MULTI: bad source address from client" Fehler
Für alle:
auf dem OpenVPN Server das v6 Subnetz in /usr/local/etc/openvpn/ccd eintragen
Einfach nach "client-config-dir ccd" googlen...
Sonst kann der OpenVPN Server die Pakete nicht routen und wirft die ganze Zeit "MULTI: bad source address from client" Fehler
15
German - Deutsch / Ipv6 über OpenVPN im Netzwerk verteilen, fehlende Route?
« on: December 05, 2018, 10:53:00 am »
Moin,
ich hoffe hier kann mir jemand helfen, ich bin am verzweifeln.
Problem: Ich habe bei mir Zuhause noch kein ipv6, nur ein statisches v4.
Angedachte Lösung: Server für ein 10Eur/mtl mieten, mit einem /56 und die /64 über Openvpn mit OPNsense in meinem Netzwerk verteilen.
Mein Setup:
Ich habe einen Freebsd Server mit einem /56 bei einem Hoster, wo ein OpenVPN Server läuft:
ipv6 Subnetz: 2001:xxx:xxxx:1000::/56
OpenVPN Server config:
ifconfig:
ipfw openvpn Regeln:
Die VPN Verbindung client <-> Server, von meinem Mac via Tunnelblick funktioniert:
ex. ping google.com
OPNsense Konfiguration:
ifconfig:
igb 1 ist mein LAN Netzwerk:
192.168.2.0/24
2001:xxx:xxxx:1002::/64
Ping OPNsense -> OpenVPN Endpunkt:
Ping6 OPNsense -> google.com
Der OpenVPN-Tunnel funktioniert also auf der OPNsense.
Ich kann auch:
- von der OPNsense mein Notebook pingen (ipv6)
- vom Notebook ovpnc1 2001:xxx:xxxx:1001::1000 und das LAN Netzwerk interface igb1 2001:xxx:xxxx:1002::1000 pingen
Mir fehlt also eine Route die ipv6 Pakete vom LAN Netzwerk über ovpnc1 <-> zum OpenVPN Server Endpunkt 2001:xxx:xxxx:1001::1 weiterleitet oder?
Weil ein Ping6 vom Notebook auf google.com funktioniert nicht.
ich hoffe hier kann mir jemand helfen, ich bin am verzweifeln.
Problem: Ich habe bei mir Zuhause noch kein ipv6, nur ein statisches v4.
Angedachte Lösung: Server für ein 10Eur/mtl mieten, mit einem /56 und die /64 über Openvpn mit OPNsense in meinem Netzwerk verteilen.
Mein Setup:
Ich habe einen Freebsd Server mit einem /56 bei einem Hoster, wo ein OpenVPN Server läuft:
ipv6 Subnetz: 2001:xxx:xxxx:1000::/56
OpenVPN Server config:
Code: [Select]
port 1194
proto udp
proto udp6
dev tun
ca /usr/local/etc/openvpn/pki/ca.crt
cert /usr/local/etc/openvpn/pki/issued/xxx.crt
key /usr/local/etc/openvpn/pki/private/xxx.key
dh /usr/local/etc/openvpn/pki/dh.pem
tls-auth /usr/local/etc/openvpn/ta.key 0
remote-cert-tls client
server 10.8.0.0 255.255.255.0
server-ipv6 2001:xxx:xxxx:1001::/64
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC
group nobody
user nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 6
explicit-exit-notify 1
mute 20
tun-ipv6
push "route-ipv6 2000::/3"ifconfig:
Code: [Select]
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
ether 00:08:a2:0c:4f:b8
hwaddr 00:08:a2:0c:4f:b8
inet 195.xxx.xxx.229 netmask 0xffffff00 broadcast 195.xxx.xxx.255
inet6 fe80::xxx:xxx:xxxx:4fb8%igb0 prefixlen 64 scopeid 0x1
inet6 2001:xxx:xxxx:xxx:xxx:a2ff:fe0c:4fb8 prefixlen 64 autoconf
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet6 fe80::208:a2ff:fe0c:4fb8%tun0 prefixlen 64 scopeid 0x3
inet6 2001:xxx:xxxx:1001::1 prefixlen 64
inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: tun
Opened by PID 83237ipfw openvpn Regeln:
Code: [Select]
# make VPN work
- "add 10 allow all from any to any via tun0"
- "add 1000 allow udp from any to me dst-port 1194 keep-state"
- "add 120 skipto 501 ip4 from any to any out via igb0 keep-state"
- "add 501 nat 1 ip4 from any to any"
- "nat 1 config if igb0"
Die VPN Verbindung client <-> Server, von meinem Mac via Tunnelblick funktioniert:
ex. ping google.com
Code: [Select]
➜ ~ ping google.com
PING google.com (172.xxx.xx.xx): 56 data bytes
64 bytes from 172.xxx.xx.xx: icmp_seq=0 ttl=53 time=62.707 ms
➜ ~ ping6 google.com
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2a00:1450:4001:81c::200e
16 bytes from 2a00:1450:4001:81c::200e, icmp_seq=0 hlim=53 time=62.197 ms
OPNsense Konfiguration:
ifconfig:
Code: [Select]
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=4400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,TXCSUM_IPV6>
ether 00:0d:b9:4c:53:3c
hwaddr 00:0d:b9:4c:53:3c
inet6 fe80::20d:b9ff:fe4c:533c%igb0 prefixlen 64 scopeid 0x1
inet xxx.xxx.xxx.xx netmask 0xffffff00 broadcast xxx.xxx.xxx.xxx.
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=4400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,TXCSUM_IPV6>
ether 00:0d:b9:4c:53:3d
hwaddr 00:0d:b9:4c:53:3d
inet6 fe80::20d:b9ff:fe4c:533d%igb1 prefixlen 64 scopeid 0x2
inet6 2001:xxx:xxxx:1002::1000 prefixlen 64
inet 192.168.2.254 netmask 0xffffff00 broadcast 192.168.2.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
igb2: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
ether 00:0d:b9:4c:53:3e
hwaddr 00:0d:b9:4c:53:3e
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: enc
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
pflog0: flags=100<PROMISC> metric 0 mtu 33160
groups: pflog
pfsync0: flags=0<> metric 0 mtu 1500
groups: pfsync
syncpeer: 0.0.0.0 maxupd: 128 defer: off
ovpnc1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet6 fe80::20d:b9ff:fe4c:533c%ovpnc1 prefixlen 64 scopeid 0x8
inet6 2001:xxx:xxxx:1001::1000 prefixlen 64
inet 10.8.0.6 --> 10.8.0.5 netmask 0xffffffff
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: tun openvpn
Opened by PID 22508
igb 1 ist mein LAN Netzwerk:
192.168.2.0/24
2001:xxx:xxxx:1002::/64
Ping OPNsense -> OpenVPN Endpunkt:
Code: [Select]
ping6 2001:xxx:xxxx:1001::1
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2001:xxx:xxxx:1001::1
16 bytes from 2001:xxx:xxxx:1001::1, icmp_seq=0 hlim=64 time=27.439 ms
Ping6 OPNsense -> google.com
Code: [Select]
ping6 google.com
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2a00:1450:4007:817::200e
16 bytes from 2a00:1450:4007:817::200e, icmp_seq=0 hlim=55 time=47.972 ms
Der OpenVPN-Tunnel funktioniert also auf der OPNsense.
Ich kann auch:
- von der OPNsense mein Notebook pingen (ipv6)
- vom Notebook ovpnc1 2001:xxx:xxxx:1001::1000 und das LAN Netzwerk interface igb1 2001:xxx:xxxx:1002::1000 pingen
Mir fehlt also eine Route die ipv6 Pakete vom LAN Netzwerk über ovpnc1 <-> zum OpenVPN Server Endpunkt 2001:xxx:xxxx:1001::1 weiterleitet oder?
Weil ein Ping6 vom Notebook auf google.com funktioniert nicht.
Code: [Select]
➜ ~ ping6 2001:xxx:xxxx:1001::1
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1002:f992:b66b:2062:3196 --> 2001:xxx:xxxx:1001::1
--- 2001:xxx:xxxx:1001::1 ping6 statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
➜ ~ traceroute6 google.com
traceroute6 to google.com (2a00:1450:4001:81c::200e) from 2001:xxx:xxxx:1002:f992:b66b:2062:3196, 64 hops max, 12 byte packets
1 OPNsense 9.299 ms 8.749 ms 10.221 ms
➜ ~ ping6 google.com
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1002:f992:b66b:2062:3196 --> 2a00:1450:4001:81c::200e