Messages

196

19.1 Legacy Series / Re: Aliasing completely broken for me recently

« on: April 15, 2019, 06:17:29 am »

Same issue. Old Alias are working, new ones are emtpy.

Error message

Code: [Select]

configd.py: [5c57e160-70ec-44c2-bee6-c84bd10f3acf] Inline action failed with OPNsense/Filter OPNsense/Filter/filter_tables.conf label empty or too long at Traceback (most recent call last): File "/usr/local/opnsense/service/modules/processhandler.py", line 509, in execute return ph_inline_actions.execute(self, inline_act_parameters) File "/usr/local/opnsense/service/modules/ph_inline_actions.py", line 51, in execute filenames = tmpl.generate(parameters) File "/usr/local/opnsense/service/modules/template.py", line 332, in generate raise render_exception Exception: OPNsense/Filter OPNsense/Filter/filter_tables.conf label empty or too long

br

197

19.1 Legacy Series / Re: Limiting cross-interface DNS in Unbound

« on: April 14, 2019, 08:47:33 am »

Hi.
I'm using for Guest network public DNS resolver.
DNS queries to Guest interface (Unbound) are denied.

Br

198

German - Deutsch / Re: Best practise für IPv6-Funktionalität im Heimnetz

« on: April 10, 2019, 06:04:58 am »

Hi.

a) ein dynamisches Präfix zu tracken

Das wurde in einem anderen Thread schon erwähnt, wenn ich mich recht entsinne wird daran gearbeitet.

b) gleichzeitig über ne Virtual IP

Mehrere IPv6 IPs sollte eigentlich kein Problem sein, da bei IPv6 ja so vorgesehen. Ich hab intern IPv6 so aufgesetzt. Die Interfaces haben jeweils eine (fixe) ULA sowie eine Link local Addresse. Per SLAAC und DHCP werden dann die IPs und zusätzliche Infos für die Clients bereitgestellt.

Aber ich hab das auch nur Testweise im Einsatz.

lg

199

German - Deutsch / Re: Best practise für IPv6-Funktionalität im Heimnetz

« on: April 09, 2019, 09:03:11 pm »

Hi,

Bin auch nicht der ipv6 Experte, aber soweit ich verstanden habe.

Unique Local Address für die interne LAN Adressierung, mit einem "random" Präfix aus der fd00::/8 Range.
Zusätzlich die globalen Addressen von deinem Provider für Internet.

NAT und IPv6 ist ja so eine Sache und sollte nur in Ausnahmefällen verwendet werden

Lg

200

German - Deutsch / Re: Magenta TV & IGMP proxy

« on: April 07, 2019, 04:42:35 pm »

Hi,

Aber falls es dich beruhigt, ich habe es noch nicht ans Laufen bekommen... in div. Konstellationen nicht.Also solltest du es ans laufen kriegen sag bescheid wie

Dito 

lg

201

German - Deutsch / Re: WebUI langsam

« on: March 19, 2019, 11:04:17 am »

Hi.

Ist nur der Erstaufruf der Seite oder dann bei der Verwebdung?

Fg

202

Development and Code Review / Re: Introducing UnboundBL, a Unbound DNS-based adblocker for OPNsense!

« on: March 16, 2019, 04:43:31 pm »

Hi,

Thanks great work.
Is it planned to release it as official opnsense plugin soon?


Thanks
br

203

German - Deutsch / Re: VPN Zertifikat Error

« on: March 10, 2019, 10:51:47 am »

Hi,

Und du hast (im Gegensatz zu mir) einfach den Fehler ignoriert, das der Export der Configs nicht geht. So wie es sich liest, war dies bei dir auch nur eine einmalige Sache und du hast doch damit abgefunden....

Habe damals 2017 keine andere Möglichkeit gefunden.
Da bisher alles mit Android und Windows funktioniert hat hab ich das dann irgendwann einfach vergessen. Die Anzahl der Exports bzw sich verbindenden Cients ist bei mir überschaubar.

Importiere eine neue CA und füge die Kette komplett in den Import hinzu. Dieses "Ketten-CA" dann als PeerCA benutzen und nun kannst du exportieren und verbinden und hast zudem keine Fehler mehr wegen deinen Zertifikaten (und es läuft so wie es laufen sollte)

Das war eh immer so, nur das ich für den Export die PeerCA auf die RootCA stellen musste und ich vergessen habe zurück auf die VPNCA zu stellen.

lg

204

German - Deutsch / Re: VPN Zertifikat Error

« on: March 10, 2019, 10:14:13 am »

Hi,

in aller Kürze.

Ich betreibe eine externe CA.
Neben der RootCa befinden sich darunter weitere CAs zB für VPN.

Daher folgende Chain:
RootCA->VPNCA--ServerCert
                        \--VPNClient certs

Bisher waren meine Setting das bei Opnsense als Peer Ca noch die RootCA als PeerCA konfiguriert war.
Ohne dem war es nicht möglich die Configs zu exportieren.
Zusätzlich die Certificate Depth noch auf 1

Habe eine OpenVPN inline config, die sich foldermaßen aufbaut:
<Settings>
<VPNCA_cert>
<RootCA_cert>
<Client_cert>
<ClientCertificate Depth key>
<Static TLS Key>

Läuft so seit Jahren auf Android und Windows ohne Probleme.

Hab jetzt noch ein IOS Device bekommen, und siehe da plötzlich gab es einen Fehler

VERIFY ERROR: depth=0, error=unable to get local issuer certificate

, siehe auch https://forum.opnsense.org/index.php?topic=11974

Seltsamerweise auf Android oder Windows aber kein Problem mit der gleichen Client config

Nach Umstellung der PeerCA auf die VPNCA, was ja nur so eingestellt war das vor ein paar Jahren das exportieren der config ohne nicht möglich war, hat die Verbindung geklappt (selbe Client config).
Hat mich aber ein paar Stunden gekostet da ja auf Android und Windows alles funktioniert hat.

Bei der Certificate depth hab ich jetzt Two, scheint aber egal zu sein, funktioniert unabhängig dieser Einstellung.
Hab im Moment etwas wenig Zeit das im Detail zu analysieren, es scheint aber eine Unterschied zu geben bei Verbindungen von Android/Windows/IOS zumindest bei der Prüfung von den Chains.

lg

205

German - Deutsch / Re: VPN Zertifikat Error

« on: March 09, 2019, 09:31:21 pm »

Hi,

interessanter Thread.

Habe ähnliches beobachtet und bin jetzt wieder bei einem neuen Setup drübergestolpert.

Hatte meine "Peer CA" noch immer auf die RootCA und nicht auf die Intermediate welche dann das Server Zert ausstellt.
Damit hatte ich jetzt plötzliche ähnliche Probleme wie du obwohl ein laufendes Setup bereits seit Jahren läuft. Habs jetzt aber auch wieder hinbekommen.

fg

206

19.1 Legacy Series / Re: (SOLVED) Ipad OpenVPN issue (Android and Windows ok)

« on: March 09, 2019, 09:20:49 pm »

Hi,

solved, there seems to be a different in handling certificate chains, now it works.

br

207

19.1 Legacy Series / (SOLVED) Ipad OpenVPN issue (Android and Windows ok)

« on: March 09, 2019, 01:35:28 pm »

Hi.

I'm running since years Open VPN  server and connect with Windows and Android Clients.

It's an inline config. With certificate chain, private key, auth-key included.

On my ipad IOS 12.1.1 i could not connect.

From Opnsens log:
50585 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CXXXXXXXXX
50585 SSL alert (write): fatal: unknown CA
14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed

I know what an certificate verification error is, but same config is working on Windows and Android since years.

I'm not familiar with Apple stuff, any idea?

br

208

Intrusion Detection and Prevention / Re: IPS stops working (19.1.2)

« on: March 06, 2019, 10:50:31 am »

Ok, thanks

209

Intrusion Detection and Prevention / Re: IPS stops working (19.1.2)

« on: March 05, 2019, 05:35:04 pm »

Hi.

I'm using PPPoE for WAN connection, switched to those setup after upgrading to 19.1.2.
So if I understand correct, IPS ist not supportef for WAN Interfaces with PPPoE?

Br

210

19.1 Legacy Series / Re: IPS/Suricata does not show alerts in 19.1

« on: March 05, 2019, 06:09:08 am »

Same issue here, started also a thread https://forum.opnsense.org/index.php?topic=11901.0

br