Messages

fabian,

thank's for your reply.

I changed the port already to 4443. Still no luck.

Here's what I tried so far:

I created a new cert for the TCP-server and the TCP-client. I added a new server with the server wizard. Additional rules are added automatically. I added a new client. As I did this alle before successfully many times on different OPNsense installations with UDP and port 1194, I'm quite sure the config of server and client is corresponding. It might be additional params are needed (like "float", "mssfix", ...) which I overlooked or don't know.

For the test I disabled the openvpn UDP-client and the UDP-server. Only the TCP-server and TCP-client are running. Now trying to connect a laptop as road-warrior from a different location does not work. Trying the same on UDP 1194 does work.

It could also be, that additional rules are needed or the rules aren't in the correct order.

The OPNsense is behind a FritzBox as an exposed host. The openvpn client connects via static ip to the OPNsense - again, working flawless on UDP 1194.

I'd really like to know, what am I missing? Isn't there nobody out there with a similar configuration who could point me in the right direction?

regards,
stefan

Franco, thank's for your reply.

Regards,
stefan

Is there a way to deactivate a rule from the console/CLI?

Thank's for any help.

stefan

Kann man von der Konsole / CLI eine Regel deaktivieren? Wenn ja, wie?

Vielen Dank für jede Hilfe.

stefan

I need to set up a VPN server/client with TCP proto on port 443.

Could anybody advise/help with a sample configuration and the corresponding FW rules? I can't get a connect. My VPN with UDP on port 1194 works flawless.

Thank's in advance.

regards,
stefan

Irgendjemand, der eine funktionierende VPN-Verbindung mit TCP auf Port 443 hat?

Für einen Test mit TCP 443 habe ich eine bestehende IP4-Verbindung (Business-Kunde der Telekom) von einem anderen Standort genommen. Auch hier läuft problemlos das VPN mit UPD 1194.

Es müsste doch möglich sein einen 2. VPN-Server mit TCP 443 aufzusetzen, und einen entsprechenden Client dazu. Ich denke, beides sollte auch parallel zueinander funktionieren.

Falls jemand eine VPN-Verbindung mit TCP auf dem Port 443 aufgesetzt hat, und die Konfiguration mit den entsprechenden Regeln posten könnte, wäre ich dankbar. Ich weiss nicht, was ich hier falsch mache.

Hallo,

ich hoffe, dass ich bei meiner Suche im Forum die Antwort auf meine Frage nicht übersehen habe.

OPNsense läuft auf OPNsense 18.1.9-amd64. NAT und Webproxy sind aktiviert, das VPN auf Port 1194 läuft ohne Störungen.

Für die nächste Zeit bin ich gezwungen einen Surfstick für die Internet-Verbindung zu nutzen. Der 1&1 Stick baut eine HSDPA-Verbindung auf. Dabei habe ich jedoch festgestellt, dass eine VPN-Verbindung von den Clients über UDP 1194 nicht möglich ist. Da keine Fehler im LOG erkennbar sind nehme ich an, dass der Provider den Port blockt.

Ich habe daraufhin mit dem VPN-Wizard einen 2. VPN-Server erstellt, als Protokoll diesmal TCP auf Port 443. Eine Verbindung wird aufgebaut, jedoch durch eine Standard-Deny Regel geblockt.

Was mache ich falsch bzw. was habe ich übersehen?

Vielen Dank für jede Hilfe.

stefan

Hallo Franco,

vielen Dank für's mitlesen. Wenn's ein paar Wochen stabil läuft markiere ich den Thread als *solved*.

Grüsse,
stefan

Mit dem Update auf 18.1.4 scheint sich ein stabiler Zustand eingestellt zu haben. Seit zumindest 3 Tagen kein Freeze mehr.

stefan

Hallo Franco,

der ist schon bei euch.

Suchen kannst Du mal nach "draco". Dann hast Du den Report, der zu diesem Thread gehört.

Grüsse,
stefan

Hallo Franco,

wo wird denn der dump hingeschickt, wenn ich auf den "senden" button klicke?

Grüsse,
stefan

Hallo Franco,

vielen Dank für Deine Antwort.

Auf die Schnelle kann ich ssh anbieten. Hilft das?

Direkt auf den Rechner habe ich erst nächste Woche Zugriff.

Grüsse,
stefan

Nach einem etwas holperigen Update von 16.7 auf 17.7,12 freezed die Firewall nach ca. 5-7 Tagen Betrieb. Nur ein Hardreset hilft weiter.

Wie kann man die Ursache am Besten heraus finden?

Software:
Versions    OPNsense 17.7.12_1-amd64
FreeBSD 11.0-RELEASE-p17
OpenSSL 1.0.2n 7 Dec 2017

Plugins:
os-arp-scan
os-dyndns
os-smart
os-wol

Hardware:
grep -i cpu /var/run/dmesg.boot
CPU: Intel(R) Pentium(R) CPU  J2900  @ 2.41GHz (2416.73-MHz K8-class CPU)
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
cpu0: <ACPI CPU> on acpi0
cpu1: <ACPI CPU> on acpi0
cpu2: <ACPI CPU> on acpi0
cpu3: <ACPI CPU> on acpi0
est0: <Enhanced SpeedStep Frequency Control> on cpu0
est1: <Enhanced SpeedStep Frequency Control> on cpu1
est2: <Enhanced SpeedStep Frequency Control> on cpu2
est3: <Enhanced SpeedStep Frequency Control> on cpu3
SMP: AP CPU #2 Launched!
SMP: AP CPU #1 Launched!
SMP: AP CPU #3 Launched!

uname -mp
amd64 amd64

grep -i mem /var/run/dmesg.boot
real memory  = 4294967296 (4096 MB)
avail memory = 3959488512 (3776 MB)
hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff irq 8 on acpi0
vgapci0: <VGA-compatible display> port 0xf080-0xf087 mem 0xb0000000-0xb03fffff,0xa0000000-0xafffffff irq 16 at device 2.0 on pci0
ahci0: <AHCI SATA controller> port 0xf070-0xf077,0xf060-0xf063,0xf050-0xf057,0xf040-0xf043,0xf020-0xf03f mem 0xb0816000-0xb08167ff irq 19 at device 19.0 on pci0
xhci0: <Intel BayTrail USB 3.0 controller> mem 0xb0800000-0xb080ffff irq 20 at device 20.0 on pci0
hdac0: <Intel BayTrail HDA Controller> mem 0xb0810000-0xb0813fff irq 22 at device 27.0 on pci0
re0: <Realtek PCIe GBE Family Controller> port 0xe000-0xe0ff mem 0xb0704000-0xb0704fff,0xb0700000-0xb0703fff irq 16 at device 0.0 on pci1
re0: Using Memory Mapping!
re1: <Realtek PCIe GBE Family Controller> port 0xd000-0xd0ff mem 0xb0604000-0xb0604fff,0xb0600000-0xb0603fff irq 19 at device 0.0 on pci2
re1: Using Memory Mapping!
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0

pciconf -lv
hostb0@pci0:0:0:0:      class=0x060000 card=0x368d17aa chip=0x0f008086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series SoC Transaction Register'
    class      = bridge
    subclass   = HOST-PCI
vgapci0@pci0:0:2:0:     class=0x030000 card=0x368d17aa chip=0x0f318086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Graphics & Display'
    class      = display
    subclass   = VGA
ahci0@pci0:0:19:0:      class=0x010601 card=0x368d17aa chip=0x0f238086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SATA AHCI Controller'
    class      = mass storage
    subclass   = SATA
xhci0@pci0:0:20:0:      class=0x0c0330 card=0x368d17aa chip=0x0f358086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx, Celeron N2000 Series USB xHCI'
    class      = serial bus
    subclass   = USB
none0@pci0:0:26:0:      class=0x108000 card=0x368d17aa chip=0x0f188086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Trusted Execution Engine'
    class      = encrypt/decrypt
hdac0@pci0:0:27:0:      class=0x040300 card=0x368d17aa chip=0x0f048086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series High Definition Audio Cont                   roller'
    class      = multimedia
    subclass   = HDA
pcib1@pci0:0:28:0:      class=0x060400 card=0x368d17aa chip=0x0f488086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 1'
    class      = bridge
    subclass   = PCI-PCI
pcib2@pci0:0:28:3:      class=0x060400 card=0x368d17aa chip=0x0f4e8086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 4'
    class      = bridge
    subclass   = PCI-PCI
isab0@pci0:0:31:0:      class=0x060100 card=0x368d17aa chip=0x0f1c8086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Power Control Unit'
    class      = bridge
    subclass   = PCI-ISA
none1@pci0:0:31:3:      class=0x0c0500 card=0x368d17aa chip=0x0f128086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SMBus Controller'
    class      = serial bus
    subclass   = SMBus
re0@pci0:1:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet
re1@pci0:2:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet

usbconfig list
ugen0.1: <XHCI root HUB 0x8086> at usbus0, cfg=0 md=HOST spd=SUPER (5.0Gbps) pwr=SAVE (0mA)
ugen0.2: <USB2.0 Hub vendor 0x05e3> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.3: <USB 2.0 Hub vendor 0x1a40> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.4: <Lenovo USB Keyboard Lite-On Technology Corp.> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (100mA)
ugen0.5: <Microsoft USB Wireless Mouse Microsoft> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (50mA)

OpenVPN ist eingerichtet, ansonsten "normale" Firewall-Regeln. Dieser Freeze-Effekt trat bei der 16.7 Version niemals auf.

(Beide) Crash-Reports habe ich gesendet.

Vielen Dank für jede Hilfe.
stefan

Ich habe mir Installations-CD's / USB-Sticks gemacht. Während der Installation/Upggrades konnte die vorhandene Konfiguration importiert werden.

Glück gehabt. Allerdings bleibt die FW jetzt nach ca. 5-7 Tagen Betrieb hängen. Sie freezed einfach. Hilft nur ein Hard-reset. Da mach ich aber einen gesonderten Thread auf.