Messages

31

18.7 Legacy Series / Re: CARP on WAN

« on: September 10, 2018, 03:51:07 pm »

Hi,
i think I'm also experiencing trouble with multicast. How did you resolve your issue ?
Thanks in advance.
Wayne

32

German - Deutsch / Re: CARP Probleme nach Neuinstallation

« on: September 10, 2018, 03:49:38 pm »

Kann ich irgendwie auf der Commanline checken ob Multicast richtig funktioniert ?

33

German - Deutsch / Re: CARP Probleme nach Neuinstallation

« on: September 10, 2018, 01:52:45 pm »

Hi,
die Assignements sind korrekt. Auch stimmen alle VHIDS überein. Sonst noch eine Idee ?
Wie hast du CARP auf dem WAN firewallmäßig definiert ? MAster <-> Slave CARP ANY und ICMP ANY ?
MFG

34

German - Deutsch / [SOLVED] CARP Probleme nach Neuinstallation

« on: September 10, 2018, 09:58:54 am »

Hallo,

mir ist mein Master-Node mitten im Upgrade abgestürzt und war danach im Eimer. Anschliessend habe ich OPNsense komplett neu installiert. Nachdem ich die Config aus dem Backup eingespielt habe, habe ich Probleme mit CARP.
Nun ist meine Frage: Kann es sein, dass CARP abgesehen vom Usernamen in den HA-Einstellungen und den jeweiligen Virutal-IPs und deren Passwörtern intern noch andere Parameter verwendet, wie zum Beispiel den SSH-Fingerprint o.ä? 
Dieser hat sich nach der Neuinstallation ja geändert...
MFG Wayne

35

German - Deutsch / Re: DHCP zwischen OPNSense und Ubiquiti (VLANs) funktioniert nicht

« on: August 08, 2018, 10:56:03 am »

Hey,
nur ganz kurz, da ich gerade wenig Zeit habe:
Hau mal deine "vlan participation " mit raus. Nicht den Cisco-Like-Stuff mit dem von Ubiquity mixen.
Ich schreibe dir später mal was ausführlicher.
Check mal bitte, ob du vom Switch selbst her noch auf die FW pingen kannst und umgekehrt.
Dann ist dein trunk in Ordnung und das Problem liegt am Access-Port.
Schau dir auch mal den Arp-Cache auf beiden Geräten an.
MFG
Wayne

36

German - Deutsch / Re: Routing über IPsec

« on: August 07, 2018, 04:12:34 pm »

Hi,

das habe ich gerade probiert. Das funktioniert leider nicht. Ich vermute aber mal, dass es daran liegt, dass die OPN als exposed Host  hinter einer Fritze klemmt. Ich würde das am liebsten NATten, weiß aber nicht, ob es mir alles über den Haufen wirft, wenn ich von automatisch auf manuell umstelle...

https://forum.opnsense.org/index.php?topic=9355.0

Weißt du das zufällig ?

Danke schonmal.

37

German - Deutsch / FYI: Application based Filtering

« on: August 07, 2018, 03:41:10 pm »

Bin ich gerade drüber gestolpert:

https://www.sunnyvalley.io/sensei

Muss ich mir mal auf einem Test-System ansehen.
MFG
Wayne

38

German - Deutsch / NAT-Regel-Erstellung umschalten

« on: August 07, 2018, 03:12:12 pm »

Hi,
ich habe hier leider gerade nur zwei Produktiv-Systeme, daher kann ich es selbst nicht testen.
Was passiert genau, wenn ich die NAT-Regel-Erstellung auf "manual" umschalte ? Bleiben die Automatischen, sofern es schon mal welche gab bestehen, oder ist dann erstmal alles weg ?
Ich müsste manuell eine speziele Regel hinzufügen, der Modus steht aber auf automatisch und hab ein wenig Angst, dass mir alles fliegen geht... Ich meine aber, das ich das an einer anderen OPN schonmal gemacht habe und die bereits vorhandenen Regeln bestehen blieben. Kann das jemand bestätigen ?
MFG
Wayne

39

German - Deutsch / [EDIT] Re: Routing über IPsec -> ldapsearch über spezielles Interface

« on: August 07, 2018, 01:21:10 pm »

Ok,
ich bin einen Schritt weiter. Zwar komme ich über die GUI noch nicht an die AD, aber ich kann das Problem eingrenzen:
Es liegt nicht am Tunnel, sondern am Routing, bzw. welches Interface für den Connect genutzt wird.
Wenn ich einen ldapsearch auf der CSH absetze, dann kommt auf der Gegenseit nix an. Wenn ich das gleiche manuell mit Netcat simuliere, geht alles sauber durch. Ich müsste dem ldapsearch in der GUI also irgendwie beibringen, dass er das Server-Interface zum Verbindungsaufbau nutzt.

40

German - Deutsch / Re: Routing über IPsec

« on: August 07, 2018, 01:13:18 pm »

Theoretisch könnte ich doch eine statische Host-Route konfigurieren, die den Remote-GW auf Site B als next-Hop nutzt, oder liege ich damit falsch ?

Ich meine das in etwa so:

route add -host 192.168.2.200 gw 192.168.2.1

Wenn ich zum Beispiel über ssh ein route get mache, dann stimmt alles, aber auf der gegenseit kommt nix an.

41

German - Deutsch / Re: Routing über IPsec

« on: August 07, 2018, 12:50:10 pm »

Hi,
das verstehe ich nicht ganz.... Vielleicht habe ich mich blöd ausgedrückt:

Ich möchte, dass die Firewall selbst mit ihrem Interface, sagen wir Server, mit der IP 192.168.1.1 im Netz B die IP 192.168.2.200 erreichen kann. Die Maschinen in den Netzen selbst, also 192.168.1.0/24 und 192.168.2.0/24 können bereits miteinander kommunizieren. Lediglich der Gateway des Netzes A, also 192.168.1.1 ist nicht in der Lage die Maschine mit der IP 192.168.2.200 in Netz B zu erreichen. Von jeder anderen Büchse im Netz 192.168.1.0/24 aus funktioniert der Zugriff...

Das man dann die WAN-IP tunnelt, habe ich ehrlich gesagt noch nie gehört...

MFG
Wayne

42

German - Deutsch / Re: Ubuntu Update

« on: August 07, 2018, 11:30:00 am »

Ok.
Stell den Post doch bitte auf Solved, wenn es behoben ist.
MFG

43

German - Deutsch / Re: Ubuntu Update

« on: August 07, 2018, 10:02:27 am »

Hi,
also für mich klingt das nicht nach einem OPNsense Problem. Ich nehme an ein wget auf der bash ist auch erfolgreich, oder ?
Hast du mal geschaut, was apt dir an Fehlern auswirft ? Oder hast du noch ein lockfile unter /var sitzen, sodass Apt den Dienst verweigert ?

Schonmal ein apt-get check, oder apt-get -f durchlaufen lassen ?

Ansonsten wäre das Ubuntu Forum eher der richtige Anlaufpunkt...

MFG

44

German - Deutsch / Re: Ubuntu Update

« on: August 07, 2018, 09:41:13 am »

Such dir doch mal ne URL aus deiner Sources List und schau mal ob du die aufrufen kannst. Klingt komisch, dass du sagst, du kannst ins Web und Mails abrufen und nur Apt will nicht.
Soweit ich weiß ist Apt ja auch http...

45

German - Deutsch / Routing über IPsec

« on: August 07, 2018, 09:39:31 am »

Hallo,

ich habe folgendes Szenario: Zwei Standorte, die über IPSec miteinander verbunden sind. Standort A hat eine Active Directory,
auf die ich gerne von Staqndort B zugreifen möchte, bzw. gegen die ich authentifizieren möchte, von der OPNsense an Standort B.
Wenn ich jetzt versuche aus dem Netz B auf die AD in Netz a zuzgreifen funktioniert alles. Wenn ich jedoch versuche von der Firewall an Standort B selbst zuzugreifen, versucht er das ganze über das default GW und die Anfrage läuft sich tot.
Wie bringe ich der OPNsense bei, dass sie für Anfragen die von ihr selbst kommen und die ins Netz A sollen, den IPsec-Tunnel nutzt ?
Als Interface für IPsec vermute ich enc0, aber so wirklich erklären kann ich mir das Verhalten nicht...
Wäre super, wenn jemand einen Tipp hätte.

MFG
Wayne