Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Wayne Train

#1
Hat sich erledigt, damit die Fehlermeldung verschwindet, muss ein neuer Alias angelegt werden, andernfalls wird kein Sync getriggert.
#2
Hallo,

vielleicht hat jemand ein ähnliches Problem:

Ich habe mir wie in der Wiki beschrieben einen Maxmind-Account für GeoIP-Lite angelegt und einen Key generiert.
Wenn ich diese URL nun in den GeoIP-Tab paste, erscheint immer wieder beim Aufruf der Aliase die Meldung:

"In order to use GeoIP, you need to configure a source in the GeoIP settings tab"

Für mich sieht es so aus, dass die OPN nicht merkt, dass da bereits was eingetragen wurde. Muss ich vielleicht noch irgendwas reloaden oder restarten ?

In der /conf/config.xml steht die URL übrigens auch ganz normal drin.

oder muss ich den alten Alias löschen und alles neu anlegen ?

Danke schonmal.
MFG

#3
German - Deutsch / Syslog-ng und Syslog
October 25, 2019, 11:13:30 AM
Hi,

habe gestern ein Upgrade auf 19.7.5_5 gemacht. Ist die folgende Meldung ein "Überbleibsel" aus BSD, oder auch für OPNsense relevant ? Bei mir laufen nämlich aktuell Syslog (local) und Syslog-ng....

syslog-ng is now installed! To replace FreeBSD's standard syslogd
(/usr/sbin/syslogd), complete these steps:

1. Create a configuration file named /usr/local/etc/syslog-ng.conf
(a sample named syslog-ng.conf.sample has been included in
/usr/local/etc). Note that this is a change in 2.0.2
version, previous ones put the config file in
/usr/local/etc/syslog-ng/syslog-ng.conf, so if this is an update
move that file in the right place

2. Configure syslog-ng to start automatically by adding the following
to /etc/rc.conf:

syslog_ng_enable="YES"

3. Prevent the standard FreeBSD syslogd from starting automatically by
adding a line to the end of your /etc/rc.conf file that reads:

syslogd_enable="NO"

4. Shut down the standard FreeBSD syslogd:

kill `cat /var/run/syslog.pid`

5. Start syslog-ng:

/usr/local/etc/rc.d/syslog-ng start

Ich stell die Frage, weil die genannten Pfade und Dateien so nicht 1:1 auf meinem System existieren.
Kann ich das einfach ignorieren, oder ist heri Handlungsbedarf angesagt ? Oder anders formuliert, welchen Syslog sollte ich verwenden ? Falls Syslog-NG, wo deaktiviere ich den legacy Syslog zuverlaässig ?
Danke schonmal.
MFG
Wayne
#4
:-) Genau.

ich war auch etwas von den Socken, weil ich eigentlich dachte, dass das bei einer FW eher selten vorkommt. Außer bei Cisco ;-)...
Vorerst werde ich das wohl erstmal hart in die Config des Systems tackern.

LG
#5
Hi JeGr,

das ist der Output eines Audit-Scans und der zugehörigen warnings / alerts / recommendations. Du kannst auch gerne selbst mal scannen. Nmap listet dir auch alles, was die OPN anbietet:

nmap -p 22 -sS --script ssh2-enum-algos.nse $IP_DEINER_OPNSENSE

Ich habe nur die gelistet, die kritisch sind, bzw. besser unterbunden werden.

Wenn du so fragst, wäre es natürlich wünschenswert, wenn man die Crypto an sich für SSH so wie für die Web-GUI tweaken könnte.

MFG Wayne
#6
Hi Franco,
ich bin leider nicht bei Github.
Anbei die Liste:

# key exchange algorithms
(kex) ecdh-sha2-nistp256                    -- [fail] using weak elliptic curves
(kex) ecdh-sha2-nistp384                    -- [fail] using weak elliptic curves
(kex) ecdh-sha2-nistp521                    -- [fail] using weak elliptic curves
(kex) diffie-hellman-group-exchange-sha256  -- [warn] using custom size modulus (possibly weak)
(kex) diffie-hellman-group14-sha1           -- [warn] using weak hashing algorithm


# host-key algorithms
(key) ecdsa-sha2-nistp256                   -- [fail] using weak elliptic curves
                                            `- [warn] using weak random number generator could reveal the key


# message authentication code algorithms
(mac) umac-64-etm@openssh.com               -- [warn] using small 64-bit tag size
(mac) hmac-sha1-etm@openssh.com             -- [warn] using weak hashing algorithm
(mac) umac-64@openssh.com                   -- [warn] using encrypt-and-MAC mode
                                            `- [warn] using small 64-bit tag size
(mac) umac-128@openssh.com                  -- [warn] using encrypt-and-MAC mode
(mac) hmac-sha2-256                         -- [warn] using encrypt-and-MAC mode
(mac) hmac-sha2-512                         -- [warn] using encrypt-and-MAC mode
(mac) hmac-sha1                             -- [warn] using encrypt-and-MAC mode
                                            `- [warn] using weak hashing algorithm


# algorithm recommendations (for OpenSSH 7.9)
(rec) -diffie-hellman-group14-sha1          -- kex algorithm to remove
(rec) -diffie-hellman-group-exchange-sha256 -- kex algorithm to remove
(rec) -ecdh-sha2-nistp256                   -- kex algorithm to remove
(rec) -ecdh-sha2-nistp384                   -- kex algorithm to remove
(rec) -ecdh-sha2-nistp521                   -- kex algorithm to remove
(rec) -ecdsa-sha2-nistp256                  -- key algorithm to remove
(rec) -hmac-sha1                            -- mac algorithm to remove
(rec) -hmac-sha2-256                        -- mac algorithm to remove
(rec) -hmac-sha2-512                        -- mac algorithm to remove
(rec) -umac-64@openssh.com                  -- mac algorithm to remove
(rec) -umac-128@openssh.com                 -- mac algorithm to remove
(rec) -hmac-sha1-etm@openssh.com            -- mac algorithm to remove
(rec) -umac-64-etm@openssh.com              -- mac algorithm to remove

MFG
Wayne
#7
Hi,

wo tweake ich am besten die SSH-Settings der OPNsense, sodass sie bei Updates nicht überschrieben werden ?

In dieser Datei ?

/usr/local/etc/ssh/sshd_config

Oder gibt es doch noch was in der GUI, was ich übersehen habe ?

Ich frage, weil zum Teil suboptimale MACs und Kex genutzt werden...

MFG Wayne
#8
Hallo,

ich habe seit geraumer Zeit folgendes Problem: Wir haben zwei Standorte A und B, die wiederum jeweils mit einem Tunnel mit Stabndort C verbunden sind. C befindet sich hiner einer Fritzbox, die die OPN als "exposed host" behandelt. Auf Firewall B gibt es maximal 4 SPIs und die RAM-Auslastung bleibt normal.

Bei der Verbindung A nach C sind aktuell 267 SPIs vorhanden und die RAM-Auslatung steigt kontinuierlich an, bis die Kiste irgendwann nicht mehr erreichbar ist.

ipsec status con3 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
     267
ipsec status con2 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
       4

Ich vermute mal, dass es mit unserer Anbindung an sich zusammenhängt, da die Config von A und B identisch ist. Vor A aber noch eine Fortinet hängt, vor B nicht.

Darüber hinaus meldet A immer wieder "ESP_TFC_PADDING_NOT_SUPPORTED" für den besagten Tunnel. Eine Einstellung wo ich das Padding für diese Verbuindung deaktivieren kann, habe ich allerdings nioch nicht gefunden.

Hat jemand ne Idee, oder mal ein ähnliches Verhalten beobachtet ?
Danke.

MFG
Wayne
#9
Hallo,
ich versuche das Captive Portal auf HA umzubauen. Gibt es eine Möglichkeit die Voucher zwischen den Nodes zu syncen ?
Grüße
Wayne
#10
Hi,
we use 11 CARP-VIPs., one for each VLAN.
Cheers,
Wayne
#11
Hi,

I can confrim the issue exists. We're experiencing this behaviour on both of our Production-Clusters since upgrading to 19.1.8. I tried setting our secondary to "persistent carp maintenance mode", which usually makes the primary node master again, but this also failed. I'll reboot the secondary after work, to make it slave again.

Cheers,
Wayne
#12
Hi,
erstmal danke für den Tipp. Ich habe schon mehrfach alle Dienste neu gesartet. Der RAM wird dadurch nicht entladen. EInzig ein reboot putzt ihn wieder leer. Gibt es unter BSD irgendwelche Tools mit denen ich das genauer analysieren kann ? Oder hast du eine Idee, wie ich vielleicht nur den RAM für eine einzige Applikation monitoren kann ?
MFG
Wayne
#13
Bei mir laufen:


  • captiveportal
    configd
    dhcpd
    flowd_aggregate
    login
    ntpd
    openssh
    openvpn
    openvpn
    openvpn
    openvpn
    pf    
    samplicate
    strongswan
    suricata
    syslog
    unbound

Das was mich etwas stutzig macht ist wie gesagt, der eine Tunnel. Hier in diesem Fall "con3" und die Anzahl der TUNNEL/SPIs
# ipsec status con1 | grep INSTALLED | wc -l
       3
# ipsec status con2 | grep INSTALLED | wc -l
       1
# ipsec status con3 | grep INSTALLED | wc -l
     171

Für mich sieht das so aus, als würde er da dauernd einen neuen hinzufügen:

con3{142480}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142481}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142482}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142483}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142484}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs

Zumindest, wenn man davon ausgeht, dass das Timesramps sein sollen....

Die Gegenstelle ist ebenfalls eine OPN, aber als Exposed Host hinter einer Fritze. Falls das von Belang ist.
Das einzig auffällige, was ich in der ipsec.log sehe ist "received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding". Das tritt auch nur bei dieser Verbindung auf. Bei den anderen nicht.
Sagt dir das was ?

Danke schonmal.

#14
Hi,

seit etwa 3-4 Monaten steigt die RAM-Auslastung der OPNsense über einen Zeitraum einer Woche immer weiter an, bis sie irgendwann garnicht mehr reagiert. Leider habe ich es bisher nicht geschafft, die Ursache dafür zu finden, bzw. den Prozess auszumachen, der dafür verantwortlich ist. Ich vermute allerdings, dass es an einem IPSec Tunnel liegt, da dort bei einem der Tunnel extrem viele SPIs angelegt werden die für mich persönlich aufgrund der Time in den Stats wie Duplikate aussehen. Das ist aber auch nur eine Vermutung. Hat jemand eine Idee, woran das liegen könnte, bzw. wie ich das ganze weiter eingrenzen kann.
Auf einer anderen OPNsense, auf der ich ebenfalls einen Tunnel zur gleichen Destination aufbaue, läuft der RAM nicht voll.

Mittels top und ps konnte ich bisher auf nichts brauchbares stoßen.

Wäre cool, wenn jemand noch ne Idee hätte, oder einen Tipp parat hat.
MFG
#15
Sorry,
hab's gerade selbst gemerkt, es ist in den Plugins.... :-)