Messages

1

German - Deutsch / Re: OpenVPN: This option will be removed in the future..

« on: August 19, 2020, 02:47:14 am »

Dein 10.0.0.5/24 ist keine IP, sondern ein Netz. Ergo weißt du einem User eine IP aus diesem Netz zu, aber nicht eine spezifische IP, die nur der und immer nur der hat. Das funktioniert eben mit ifconfig push, und nur dann kannst du per IP die Firewallregeln entsprechend der User anpassen.
Klar, braucht man nur, wenn man auch eine entsprechende Anzahl an Usern hat - die auch spezifische Zugriffsrechte haben. Wer nur 1-2 Leutchen am VPN hat, braucht diese Option (oder ganze Listen in einem config-dir) eh nicht.

2

German - Deutsch / Re: OpenVPN: This option will be removed in the future..

« on: August 17, 2020, 02:40:49 pm »

Damit ordnest du aber keinem User eine spezifische IP zu, damit trennt man eher Gruppen.
Wie oben schon erwähnt (Link zur OpenVPN-Webseite), macht man das entweder per push oder durch eine Liste in einem config-Verzeichnis, welches aber unter OPNSense nicht zugänglich wäre - oder nur per shell und ohne Backup und...
Jedem Nutzer ein eigenes Netzwerk zuteilen, ist ja nicht wirklich zielführend, auch wenn es bei nur wenigen Nutzern machbar ist.
Ich weiß nicht, ob man den OpenVPN-Client dazu bringen kann, das Push-Kommando zu ignorieren, ansonsten ist mir nicht ganz klar, warum diese Option wegfallen soll.

3

General Discussion / shop.opnsense.com kinda broken?

« on: August 17, 2020, 02:31:05 pm »

Is-it-only-me or is https://shop.opnsense.com/ kinda broken? If I click on "Appliances", I get.. nothing - https://shop.opnsense.com/#

4

German - Deutsch / Re: OpenVPN: This option will be removed in the future..

« on: August 07, 2020, 03:28:25 pm »

Über push regelst du ja nur die routen..

Ne, mit ifconfig-push legst du die IP des Clients fest, und kannst dann mit Firewallregeln diese IP beschränken:
ifconfig-push 10.23.45.67 255.255.255.248;
Firewall: unter OpenVPN-Interface, alles first match:
10.23.45.67 darf auf IP interner Mailserver
.. weitere Regeln für alle User...
und zum Schluss: Alle dürfen nix

Edit: Und wenn man bei den Firewallregeln mit Aliasen arbeitet, hat man auch nicht sooo viel an Regeln zu erstellen. Ein nettes GUI dafür wäre mit aber auch .. willkommen.

5

German - Deutsch / OpenVPN: This option will be removed in the future..

« on: August 07, 2020, 02:31:13 pm »

Moin.

In den Einstellungen "Client Specific Overrrides" bei OpenVPN ist mir aufgefallen, daß "Advanced" als deprecated markiert ist. Nu mache ich da aber meine clientspezifischen Dinge wie ifconfig-push rein um z.B. den Zugriff auf interne IP-Bereiche zu beschränken. Alternativen wären wohl Konfig-Verzeichnisse wie in
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
beschrieben, aber Zugriff auf ein /etc/openvpn/mein-ccd hat man hier ja gar nicht.
Wie regelt man dann in Zukunft Zugriffsrechte per Client? (A darf nur 192.168.55.10; B darf ganzes 192.168.88.0, C darf alles)

6

18.7 Legacy Series / Re: Renew WAN interface via CMD or API

« on: January 10, 2019, 06:28:30 pm »

I somehow miss an easy way to renew a DHCP or xDSL-connection anyway. It's always a pita to troubleshot connection problems, reboot is more or less the only safe way to check if WAN/ISP fails or something else goes wrong. I'd really like to have a dedicated status page for DHCP & xDSL-DHCP with only for DHCP and PPPoA/E relevant log entries and esp. the PPPoE/A replies (like PADI/PADO etc.). And a simple button with "Reconnect" or "Renew IP". Even many cheap plastic routers offer a better GUI..
Same for status of a WAN-DSL-combo interface. The (virtual) DSL-interface is never shown as connected, I added a dummy WAN-interface (static IP) to check the (physical) connection status (like 1000baseT <full-duplex>).

7

German - Deutsch / Re: Draytek vigor 130 PPPoe WAN Down

« on: September 10, 2018, 10:40:19 pm »

Sicher, daß es nicht nur die Anzeige ist? Bei PPPoE gibt es ja quasi 2 WAN-Schnittstellen, das "echte" physische Interface und das eher virtuelle PPPoE-Interface Huckepack. Das physische Interface hat bei PPPoE keine IP, da es auch gar nicht als Netzwerkschnittstelle genutzt wird, es stellt ja lediglich das physische Medium für die PPPoE-Bridge bereit. Intern wurde früher bei PPP-Verbdinungen oft als Dummy die IP 1.1.1.1 o.ä. vergeben, keine Ahnung, wie FreeBSD das macht. Deshalb hab ich ein Dummy-Interface auf der WAN-Schnittstelle mit fester 10er-IP angelegt, damit ich den physischen Verbindungsstatus überhaupt mal angezeigt bekomme (sonst hat WAN im Dashboard kein Netzwerkkabel drin...). Ziemlich nervig, könnte man sicher besser lösen, aber funktioniert.

8

18.1 Legacy Series / Re: Zerotier - managed routes aren't availible when service starts

« on: March 20, 2018, 05:13:51 pm »

Had the same problem and no answer. Also back to OpenVPN.
The second issue I have is that there is no OpenSource ZeroTier Central/Controller to host a private network? All I can see is a "License to self-host ZeroTier Central" for $100 per month. Call me paranoid, but unless I can host the controller myself, ZeroTier is not better than other such solutions like Hamachi & Co. And paying $100 per month is not an option for private use.. ^^

9

17.7 Legacy Series / Re: OPNsense behind ISP router with NAT

« on: January 04, 2018, 04:29:25 am »

Draytek xDSL modem:
https://www.draytek.de/vigor130.html
There is an older model without vDSL, DrayTek vigor120(b), but to be ready for vDSL I'd take the newer one.
The 130 is in fact a little router, but can be put into a pure bridged modus.

10

17.7 Legacy Series / Re: OPNSense And Timemachine Backups

« on: January 04, 2018, 04:21:54 am »

Timemachine over network needs a working mDNS. Check if your Macs see the Timemachine offers with eg. Bonjour Browser:
http://tildesoft.com/files/BonjourBrowser.dmg

11

17.7 Legacy Series / Re: Enable ARP replies on WAN network

« on: August 03, 2017, 01:31:10 pm »

Sounds IMHO like the old problem with WAN network and the reply-to rules?

12

German - Deutsch / Re: was ist die @2 block drop in log inet all label default deny rule ipv4

« on: December 19, 2016, 02:04:58 pm »

folgenden porst: 80, 443, 53", sehe ich in den fw logs, dass packages auf port 53 geblockt werde. klicke ich auf

Häufiger Fehler: DNS verwendet UDP und kein TCP. Was ist in den Regeln eingestellt? Außerdem sollte man z.B. noch einiges im Bereich ICMP durchlassen, wenn man eigene Regeln verwenden will. Dinge wie MTU discovery können einem den Tag verderben..
Netter thread zu dem Thema:
http://security.stackexchange.com/questions/22711/is-it-a-bad-idea-for-a-firewall-to-block-icmp
"It's one of those "Unless you're a networking god and really know what you're doing, don't mess with it" sort of things."

13

Hardware and Performance / Re: Wifi card or accesspoint (AP) and configuration.

« on: December 04, 2016, 02:33:58 pm »

I don't really like them, but they are not bad. Tbh, it's often a simple question of money what kind of WiFi equipment you buy. In small companies or SOHO you don't need that professional stuff, any older or cheap AP will do - somehow. Old routers with WiFi get a second life there too. In bigger companies and wide areas you want quality stuff, IP65/IP69K or whatever you need at your site.
Cheap stuff like TP-Link, Sitecom, Edimax, Zyxel or simular will often do the job. One AP from Cisco costs as much as 10 cheap ones, but the bigger your network is, the more you want centralized management.

14

16.7 Legacy Series / Re: Block outgoing connection for app?

« on: November 15, 2016, 08:41:38 pm »

Many bigger companies like Adobe use Akamai, aws & Co. for their servers, so it's almost impossible to block by IP-address. Also any other round-robin-loadbalancer will make this approuch fail as well.
I often have the same problem - but vice versa, i.e. allowing connections to eg. Adobe's licence servers fails, because they change their IP-address a lot and any client will get a different random IP-address it then tries to connect to renew its licence. So 10-80% of all clients start losing their licence because they can't connect to "their" licence server, it's just odd. Nailing down some IPs by adding them to the interal DNS is one approuch, but the IPs just float around, it's annoying.

15

16.7 Legacy Series / Re: No access or communication for servers beyond the firewall

« on: November 12, 2016, 05:21:09 pm »

Not sure how you test them, because there are some caveats around that. From exactly where to where do you test the connection? Just to avoid typical pitfalls.