Messages

Ähm hatte ich das nicht? (Dachte ich zumindest ;-) ). Also das Problem ist simpel. Ich schicke einen Ping an ein Gerät / oder auch auf das Interner Interface der Opensense hinter den OpenVpn Tunnel. Mit einer Size bis 1472 funktioniert das mit einer Size grösser 1472 kommt nur "Das Zielnetz ist nicht erreichbar"  Also wird das Paket nicht fragmentiert. Das selbe Spiel unter PFsense oder Fortigate  funktioniert.Also muss es an den Einstellungen in Opnsense liegen. Nur wo?

Ach ja die Meldung "Zielnetz nicht erreichbar kommt von der Internen IP des OpenVPN Tunnels (Client-Server VPN)

Das Problem ist, das ich möchte das es fragmentiert. Und das tut es nicht. Das die unfrgmentierte grösse von verschiedene Overheads (VPN etc.) abhängt ist schon klar. Trotzdem müsste ein grösseres Paket fragmentieren und durchgehen. Aber genau das passiert nicht.

Hallo,

Wenn ich einen Tunnel über OPENVPN aufbaue bekomme ich Pakete mit 1472 byte hindurch. Leider bekomme ich kein Paket fragmentiert. D.h. bei 1472 ist schluss. Pakete >1472 kommen nicht an.  Kann das jemand nachvollziehen? Wo habe ich eine Einstellung  übersehen?

Gruß

Christian

Ok. Aber wo? Es ist unter Squid keine Möglichkeit vorhanden. Für Opensense allgemein funktioniert es ja.

Hallo Zusammen,

Ich möchte die aufgerufenen URL's mit der jeweiligen IP Adresse des Clients  in einem Portal aufzeichnen. Also Webproxy aktiviert und dort auch Syslog als aufzeichnungsmethode ausgewählt. Nur irgendwie kommt da nichts an. DIe Konfiguration für Opnsense uns Syslog funktioniert. Denkfehler?

Gruß

Christian

Hallo,

Habe ein Problem mit PPPOE auf ein Draytek 130 und Opnsense 17.1.4.
Nach der automatischen 24 Stunden Trennung bei einen VDSL Anschluss wird der PPPOE Stack scheinbar manchmal nicht richtig Initialisiert. Hier mal zwei Beispiele. 24.3 hat funktioniert 25.3. nicht:

Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [5dfb56a4-fed3-40bb-abb9-ee22c86bf08b] Rewriting resolv.conf
Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [ec58981d-472e-476d-aec9-01ad87da00f7] Rewriting resolv.conf
Mar 24 15:17:44 MLS-LANGEN-FW01 configd.py: [da5ee089-f119-4cd7-adda-4b00c24ecbb5] Rewriting resolv.conf
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [04e33444-3949-41fa-836a-eb479ae0c953] rc.newwanip starting pppoe0
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [8b7e92e1-d41b-4c44-b926-0e59825422ad] Rewriting resolv.conf
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 24 15:17:48 MLS-LANGEN-FW01 configd.py: [6ce49bb5-4a2f-448b-ab47-4fdd06948633] rc.newwanip starting pppoe0
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 24 15:17:49 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 24 15:17:49 MLS-LANGEN-FW01 configd.py: [703cb056-3c89-43b6-91a2-8e9309fdb428] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [693542d5-7797-4f2d-805e-050934ec2a1e] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [e54aa7d5-68e4-4a4a-b239-2cea8b0b56fb] rc.newwanip starting ovpnc1
Mar 24 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 24 15:17:52 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 24 15:17:54 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'vtbd0' to device list


----------------------------------------------------------------------------------------------------


Mar 25 15:17:45 MLS-LANGEN-FW01 configd.py: [6ec4fae6-1008-4db7-af3b-6c2145de2d23] Rewriting resolv.conf
Mar 25 15:17:46 MLS-LANGEN-FW01 configd.py: [0e573053-2f2d-477d-9bc9-3a253180dd17] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 configd.py: [19ef49ad-f918-434a-8715-843c26cfb575] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 25 15:17:50 MLS-LANGEN-FW01 configd.py: [8a214343-2d00-4e10-a644-3d8646ca53b4] rc.newwanip starting pppoe0
Mar 25 15:17:50 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 25 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 25 15:17:51 MLS-LANGEN-FW01 configd.py: [3a1ee33f-49d0-4371-b5a9-2af1e9cc7e94] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [b14ecf00-1b4c-4f80-819f-f868d1da7e1d] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [bb21d48e-497a-483b-921d-075c49fbf9a6] rc.newwanip starting ovpnc1
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 25 15:17:57 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'vtbd0' to device list
Mar 25 15:17:59 MLS-LANGEN-FW01 configd.py: [c8f451fb-af61-4802-a0d7-1225dfd16c2d] Rewriting resolv.conf
Mar 25 15:18:00 MLS-LANGEN-FW01 configd.py: [76de148b-51f3-4d85-9f86-f3bc21c924ed] rc.newwanip starting pppoe0
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [dce8623d-2b33-4954-b3e1-ebcea976374e] Rewriting resolv.conf
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [95b893ff-4e1a-4a6b-ab88-5db4d79fad6a] Rewriting resolv.conf
Mar 25 15:18:03 MLS-LANGEN-FW01 configd.py: [4589666d-4fe5-41e6-b1df-bf21cc343aca] rc.newwanip starting pppoe0
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]




Was könnte der Fehler sein?

Ahhh... noch einmal neu angelegt. Jetzt geht es. Danke dir für deine Zeit.

Ich habe den aber ganz sicher mit eingegeben. Habe es noch einmal gelöscht und neu angelegt. Selbes Problem. Kann ich den per Hand anlegen?

Vermutlich ist das der Fehler:

Mar 10 20:22:14   opnsense: /usr/local/etc/rc.restart_webgui: The command '/usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf' returned exit code '255', the output was '2017-03-10 20:22:14: (network.c.633) SSL: couldn't read private key from '/var/etc/cert.pem''

Ja klar vergiss es, ich meine Wildecard  Zertifikate.  ::)

So ganz zu machen kann ich hier leider noch nicht, vielleicht ist es auch ein Bug.. Ich habe ein Root Zertifikat. Dies kann ich auch ganz normal unter Zertifikate installieren. Folgendes wird dort bei Info angezeigt:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5f:c3:85:ab:37:c5:f9:3d:8f:89:d8:cd:4f:28:be:50
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=thawte, Inc., OU=Domain Validated SSL, CN=thawte DV SSL SHA256 CA
        Validity
            Not Before: Mar 10 00:00:00 2017 GMT
            Not After : Mar  9 23:59:59 2020 GMT
        Subject: CN=*.akademie-mission-leben.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:df:93:63:41:b6:a6:0a:e1:30:d3:67:8f:f2:ad:
                    61:e0:2e:4a:83:fc:71:1c:45:4f:94:2f:0f:04:92:
                    cb:20:47:69:64:29:20:da:62:85:ca:2f:0e:5b:1b:
                    b6:ed:71:8a:2e:6b:c1:84:e6:cc:a8:8b:5f:9f:1a:
                    c7:ec:0d:7b:2d:d7:15:cc:53:aa:8f:46:d0:da:84:
                    6b:52:f3:8d:4f:7c:75:82:48:ec:31:9d:40:7e:8d:
                    dd:29:eb:07:5d:a8:93:f4:5e:72:d5:f1:ea:d4:2f:
                    8e:ec:bb:cc:49:93:41:db:ad:ca:79:55:3f:e2:70:
                    72:13:84:9f:4a:d0:22:06:68:44:bd:95:30:9c:54:
                    e8:80:d5:61:c8:d3:17:2f:cd:bd:df:2d:2b:25:35:
                    52:c8:fd:d7:45:f7:ed:75:7c:94:30:0b:3c:74:8f:
                    56:19:ca:cd:2f:2e:7b:e6:86:35:f1:83:5c:3a:0b:
                    e6:e7:95:06:e7:77:d0:4d:82:d0:b7:a8:e8:23:b0:
                    1d:41:bd:d2:08:c2:72:01:8c:5a:e7:30:7f:a3:90:
                    dc:ee:3e:b0:d9:70:7d:dc:7d:19:8f:e9:e0:a7:96:
                    0f:26:5d:cf:92:7d:78:81:19:c3:3e:fc:ff:dc:d0:
                    ba:fc:3d:75:35:a5:1d:73:f1:fb:19:83:cc:51:3e:
                    46:77
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:*.akademie-mission-leben.de, DNS:akademie-mission-leben.de
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://tm.symcb.com/tm.crl

            X509v3 Certificate Policies:
                Policy: 2.23.140.1.2.1
                  CPS: https://www.thawte.com/cps
                  User Notice:
                    Explicit Text: https://www.thawte.com/repository

            X509v3 Authority Key Identifier:
                keyid:7D:29:31:2F:C1:1E:6E:AE:31:05:6A:B3:EB:1C:CD:A9:DD:AE:80:9A

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            Authority Information Access:
                OCSP - URI:http://tm.symcd.com
                CA Issuers - URI:http://tm.symcb.com/tm.crt

            CT Precertificate SCTs:
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : DD:EB:1D:2B:7A:0D:4F:A6:20:8B:81:AD:81:68:70:7E:
                                2E:8E:9D:01:D5:5C:88:8D:3D:11:C4:CD:B6:EC:BE:CC
                    Timestamp : Mar 10 16:26:33.546 2017 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:A5:B8:19:D0:C6:8F:1F:D4:09:10:22:
                                FB:48:24:17:82:4B:A1:C6:4E:06:4C:6E:9B:E8:D6:E0:
                                F7:F9:AD:9D:C2:02:20:1F:A0:21:B3:01:DF:E5:11:E3:
                                43:2F:AD:23:30:E6:C0:27:40:51:4A:89:2C:A9:58:48:
                                05:BE:36:D1:87:1F:19
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : A4:B9:09:90:B4:18:58:14:87:BB:13:A2:CC:67:70:0A:
                                3C:35:98:04:F9:1B:DF:B8:E3:77:CD:0E:C8:0D:DC:10
                    Timestamp : Mar 10 16:26:33.576 2017 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:B6:7E:38:1C:8E:BE:37:49:F4:E2:1A:
                                84:3D:A1:98:CF:76:C0:EA:3C:5F:37:F0:0F:F4:F4:25:
                                63:91:02:BF:3E:02:20:03:98:1C:BB:92:07:92:4E:42:
                                6E:1C:1D:8E:B3:DE:5B:73:71:BC:A6:E9:CA:A6:A6:BF:
                                92:AC:F2:15:EA:51:8D
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : EE:4B:BD:B7:75:CE:60:BA:E1:42:69:1F:AB:E1:9E:66:
                                A3:0F:7E:5F:B0:72:D8:83:00:C4:7B:89:7A:A8:FD:CB
                    Timestamp : Mar 10 16:26:33.612 2017 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:82:7B:64:DC:B2:F2:8F:56:5E:16:98:
                                F7:55:C8:D3:05:5F:9F:BC:E9:60:57:54:73:A2:16:8E:
                                81:EE:AF:93:D6:02:20:40:5E:52:9B:02:CE:BA:07:21:
                                60:CC:A0:EA:A6:44:6B:13:14:C5:FB:A4:2B:26:B4:C8:
                                A5:53:79:6D:55:47:D1
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : BC:78:E1:DF:C5:F6:3C:68:46:49:33:4D:A1:0F:A1:5F:
                                09:79:69:20:09:C0:81:B4:F3:F6:91:7F:3E:D9:B8:A5
                    Timestamp : Mar 10 16:26:33.783 2017 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:BC:BF:F2:38:06:4C:4A:22:15:53:FB:
                                E0:52:07:71:D9:99:C8:A8:D6:B9:8E:73:1E:29:30:E6:
                                92:9D:8B:E2:71:02:21:00:C2:DF:43:92:6B:78:22:3C:
                                57:C9:09:E4:2C:C9:BC:7A:8D:DB:B8:50:4C:5D:E8:52:
                                B7:96:5C:FD:2F:97:33:45
    Signature Algorithm: sha256WithRSAEncryption
         0c:32:1a:b1:80:c6:ec:3d:e1:b5:9f:6c:18:1a:c1:83:0b:d5:
         85:40:84:c4:7c:22:04:a3:1c:3c:a1:d0:52:b0:e5:78:d4:75:
         80:e6:79:5a:a4:35:8b:cc:d5:82:f0:f7:cb:0a:64:11:5b:80:
         8e:cb:3a:6a:5a:b3:c0:bc:f3:8a:bb:b5:c0:e0:08:0d:5e:fb:
         aa:d3:b1:ef:8c:fe:5e:66:60:2f:15:72:f1:b9:0b:af:33:b9:
         67:82:af:c1:29:c3:05:b6:97:d2:d0:30:c0:bb:87:36:09:81:
         fc:2a:67:8b:3d:03:a6:1b:a2:33:71:1c:6a:3c:5b:2e:54:10:
         52:57:dc:97:bb:8b:2b:6d:cf:e7:e8:a1:c0:51:f8:17:b0:09:
         20:ca:3c:5f:da:cd:77:f8:d2:70:10:36:e2:59:62:7f:db:f7:
         0d:0a:76:81:ed:97:c7:51:88:56:68:00:44:f5:e8:c6:23:2b:
         5c:66:ab:8d:19:19:c2:97:5d:db:e4:81:8c:34:dc:43:b4:05:
         0d:27:1a:24:38:1c:5b:b7:28:d6:d6:ae:12:61:30:20:ee:44:
         b0:79:c4:aa:61:54:bf:9a:72:3e:32:c8:a9:19:19:80:d4:ce:
         21:35:0f:c5:5a:19:a5:d4:65:ef:fa:65:a9:54:cc:06:d3:30:
         ac:46:76:3f

Sobald ich dieses Zertifikat an die WebGui binde , ist diese nicht mehr erreichbar. Reload / Reboot etc. bringt alles nichts. Wo ist da also der Fehler?

Beantworte mir die Frage mal selbst. Hatte doch glatt die Backup Funktion vergessen.. Ein Restore des Zeitpunktes vor der Änderung und schon ging es wieder.

Hallo,

Wie kann man von der CLI das Zertifikat für die Weboberfläche zurücksetzen? Kann diese nicht mehr laden, da ich da was falschen eingespielt habe und müsste es auf das Auslieferungszertifikat zurücksetzen. Danke!

Gruß

Christan

Ich versuche das Problem gerade einzugrenzen. Da das ganze über ein LTE Router geht versuche ich erst mal die korrekte MTU Size des Routers raus zubekommen. Hie laufe ich aber gegen eine 1024er Beschränkung. Gibt es in OpnSense irgendwo ein Begrenzung der ICMP Pakete auf 1024? Habe das in anderen Firewalls schon als Large ICMP gesehen...

Hallo Zusammen,

Habe einen einfachen OpenVPN Tunnel als Client-Server aufgesetzt. Soweit auch erst mal alles ok. D.h. Verbindung wird aufgebaut und ping ist durch den Tunnel möglich. Was mich etwas irritiert hat, ist das vor allen HTTP Seiten sehr langsam sind. (z.B. Config Interface der Opnsense)
Also habe ich mal etwas gesucht. Raus gekommen ist, das durch den Tunnel nur unfragmentierte Pakete übertragen werden. D.h. bei einer Paketgröße > 1472 geht nichts mehr.

Also ping -l 1473 xxx.xxx.xxx.xxx
Zeitüberschreitung der Anforderung

Ein  ping -f -l 1473 xxx.xxx.xxx.xxx sagt korrekterweise:
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.

Wo liegt der Fehler?


Gruß

Christian