Messages

Moinsen franco,

also, ich hab das Nano Image neu auf die SD Karte gebracht, beim ersten Booten alles tutti. Backup eingespielt und reboot. Und jetzt kommt das merkwürdige: Die Kiste bootet nicht, sagt es wäre kein Bootmedium da...
Hab dann per Zufall rausgefunden, wenn ich rebooten will, dann muss ich Herunterfahren, den Strom abklemmen und kann dann anschließend booten. Aber: laut Konsole hängt er beim mount /--/ufs/opnsense und es passiert nix, trotzdem hört man nach 1 Minute den Ton des Speaker der signalisiert das die OPNsense wieder da ist und tatsächlich funktioniert auch alles, trotz der mount Geschichte.

Aber... das passiert nur nach dem Einlesen des Backups. Vorher, wenn das Image quasi neu drauf ist auf der SD, bootet er vollkommen normal, auch reboot geht immer völlig normal von statten, ohne Strom abziehen.

Irgendjemand ähnliche beobachtungen gemacht? Ansonsten würd ich evtl. die Tage das ganze 'from the Scratch' neu aufsetzen. Vielleicht ist das Backup irgendwie buggy oder mein Image.

gruss,
Astronach

@franco

Kurze Zusatzfrage dazu:
Es würde mich kein Bein kosten die Installation des Nano Images erneut zu machen von daher soll es mir egal sein. Aber kann ich eine aktuelle 16.er Konfiguration per Backup auf der 17.er Wiederherstellen oder muss ich alles neu konfigurieren?

gruss,
Astronach

Moinsen,

würde mich auch interessieren (Update). Hab das ganze zwar auf ner SD Karte aber das sollte ja egal sein.
Ich hatte irgendwo im Forum gelesen das ginge nur per SSH bzw. wenn man direkt mit der 'Box' verbunden ist und nicht per WebGUI.

Wenn ich es noch richtig zusammen bekomme musste man irgendeine Option auswählen auf der Console und dann '17.1' eingeben für den Softwarezweig.

Ist das so korrekt??

gruss,
Astronach

Hallo,

danke für eure Antworten. Habs mittlerweile lösen können. Hab das Reporting deaktiviert und dann wieder erneut gesetzt. Danach hat hat es dann funktioniert.

Gruss,
Astronach

Moinsen,

abseits der Fragestellung würde ich (aus meiner Sicht) sagen das die OpenVPN Implementierung plus des Client Export sehr gut gelöst ist und unter Umständen geeignet wäre die vorhandene Lösung zu ersetzen. Wäre vielleicht ein Test wert?

gruss,
Astronach

Moinsen,

rein interessehalber wollte ich mir das Insight reporting angucken. Also hab ich im Netflow Menu das für LAN und WAN selektiert und auf beiden die Egress Option aktiviert.
Also, entweder ist das falsch oder ich hab da was nicht richtig verstanden, jedenfalls erscheint nach 2 Tagen im Insight Report nix, also keine Graphen/Ausgaben für LAN oder WAN.

Jemand ne Idee wie das 'richtig' gemacht wird?


gruss,
Astronach

Moinsen,

hab das Tutorial https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html gefunden.

Mir ist aufgefallen das Encryption Algorythm für Site A und Site B unterschiedlich sind. Kann es sein das die auf beiden Seiten gleich sein müssen? Oder ist das einfach nur ein wenig komisch geschrieben und er verwendet auf beiden Seiten AES256. Mir kommt es so vor als wenn er auf SiteA AES256 verwendet und auf SiteB AES, aber in der Description steht AES256.

gruss,
Astronach

[Jan 25 22:28:52 charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]]

Moinsen,

hab das nie selbst konfiguriert, aber wenn ich dein Log richtig lese dann:

Und das auf Site B
Jan 25 22:28:52   charon: 11[NET] sending packet: from 192.168.178.199[4500] to xx.xxx.x.xxx[4500] (88 bytes)
Jan 25 22:28:52   charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 25 22:28:52   charon: 11[IKE] peer supports MOBIKE
Jan 25 22:28:52   charon: 11[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jan 25 22:28:52   charon: 11[CFG] no matching peer config found

würde ich sagen dein Username/PW/Pin/Tan/PreSharedKey/whatever ist falsch.
Thats my best guess.
Danach muss ein anderer ran der mehr Plan davon hat, vielleicht mal mit dem User stefan21 in Kontakt treten, der hatte die Tage ein IPsec / Blackberry Problem, vielleicht hat er ein ähnliches Site to Site Setup.......

gruss,
Astronach

Moinsen,

zur Frage 'Was nutzt ihr?'
Derzeit ein Zotac Nano CI323 mit 4GB und SD Card (Nano Image). SSD ist geplant, aber ich werde da keine neue reinschrauben, vielmehr wandert meine kleinste SSD (120GB) in die Zotac und eine größere SSD (>250GB) in meinen Hauptrechner.
An der WAN Seite hängt ne KD FritzBox, auf der LAN Seite ein 8 Port CISCO Switch (manageable, derzeit noch ohne VLAN Setup). Daran hängen wiederum 2 Clients, 1 HP ESX Server, ein UbiQuity AP und ein NAS (wird aber in kürze aus dem Setup entfernt und anderweitig ersetzt). OpenVPN Gateway, DynDNS Setup, Transparent Proxy mit ein paar ACL´s und 1 Smartphone mit OpenVPN angebunden.

Ich mach mir gerad einen Kopp ob es Sinn macht ein Gast Netzwerk einzurichten für Mobile Clients auf der OPNsense und zwar aus verschiedenen Gründen:
1. Der AP könnte das von Haus aus, dann würde ich den aber gerne per VLAN separieren
2. Die FritzBox kann das auch von Haus aus und damit wären die Gäste eh vor der OPNsense FW und sogar mit diversen Filtern und Sperren konfigurierbar.

Ja, nice to have Options........

Also, bisher eigentlich alles überschaubar und ohne größere Probleme im Einsatz (siehe meine Postings).

gruss,
Astronach

Moinsen,

ich bin relativ neu wenn es darum geht eine Firewall zu betreiben und hab mich daher umgesehen was es denn da so gab. Installiert hab ich neben pfSense, IPfire dann eben auch OPNsense.

Das bedeutet eben auch, ich hab alle 3 'from the Scratch' kennen lernen müssen. Wenn ich also eine Hitliste erstellen müsste dann würde die wie folgt aussehen:

OPNsense
IPfire
pfSense

Warum sieht die Liste so aus?
Erstens die Dokumentation von OPNsense und IPfire sind logisch aufgebaut, mit Beispielen versehen und einfach adaptierbar wenn nich sogar 1:1 für sich selbst einzusetzen (ich rede davon wie das ist, wenn man das erste mal Hand an die jeweilige Software legt, nicht ob die Firewall in der Lage ist jedem Bit hinter her zu schnüffeln etc.)
Das bedeutet ich kann mir in kurzer Zeit ein rudimentäres Setup aufsetzen, das frustfrei Funktioniert und es später Feintunen, wenn ich denn will.
Zweitens: Eines der besten Features die ich in pfSense gesehen hab, war der OpenVPN Profil Export, den ich auch in OPNsense habe
Drittens: Der Transparent Proxy, dessen Setup und dessen einfachen Konfiguration in OPNsense und IPfire
Viertens: Die Zotac Nano Intel WLAN Karte funktioniert (leider) nur bei IPfire

pfSense hat es mir extrem schwer gemacht mich dort ein zu arbeiten denn auch nach knapp 4 Tagen konnte ich, aus welchen Gründen auch immer, den Proxy nicht so konfigurieren wie ich das gerne gehabt hätte.

IPfire hatte ich dagegen ruckzuck am rennen, mit Proxy und VPNserver, aber alles etwas Altbacken (UI) und mir hat das Handling mit den VPN Clients nich so gut gefallen (war ja klar nach dem pfSense das alles in eine Datei fummelt und dann easy von A nach B kopieren).

OPNsense hat mir quasi all die guten Sachen von ipFire und pfSense geliefert, auch wenn die Installation deutlich schwieriger war als bei pfSense und IPfire. OPNsense und pfSense haben die WLAN Karte nicht erkannt was OK ist, ich wusste das es damit unter Umständen Probleme gab, bevor ich die Hardware angeschafft habe. Trotzdem ein kleines Plus für ipFire die es dann doch letzten Endes tat.

Aber danach, war es mehr oder weniger a Piece of Cake (unter OPNsense) für mich und ich bin kein Firewall Admin.

Was mich gerad ein wenig ärgert ist: Ich hab mir die Zotac Nano CI323 gekauft und bin zufrieden, aber verdammt ich wünschte ich hätte etwas eher von der BlackDwarf gehört, die scheint extrem interessant für den Heimgebrauch zu sein.

gruss,
Astronach

Moinsen JrGr,

jupp, das passt, einfach Host etc. im Forwarder eintragen und gut is.

Vielen Dank.

gruss,
Astronach

Moinsen,

hab da mal ein kleineres 'Problem'.
Meine OPNsense hängt hinter einer FritzBox. Hier gabs irgendwo ein Tutorial wo man per NAT Outbund Regel die Weboberfläche der FritzBox vom Internen Netz erreichen kann.
Das funktioniert auch per IP. Ich hätte es gerne wieder per 'Fritz.Box' oder von mir aus auch nur 'Fritz'.
Wenn ich via OPNsense (Services -> Lookup)ein Lookup mache mit 'Fritz.box' dann löst er das auch korrekt auf die WANseitige IP auf, aber mittels Browser erreiche ich die Webseite nicht.

Irgendeine Idee? Dachte vielleicht an eine 'Interne Hostlist' oder ähnliches. Aber vielleicht geht das auch eleganter.

Gruss,
Astronach

Moin Stefan,

also, da ich weder ein BB hab und auch noch nie IPsec VPN verwendet habe, würde ich pauschal auf die DNS Auflösung tippen.
Also, falls noch nicht passiert, gib dem Client als DNS die OPNsense LAN IP und evtl. mal checken ob man FW Regeln setzen müsste auf LAN und WAN Seite.

Aus eigener Erfahrung (nutz OPNsense auch noch nicht lange) kann ich sagen dass zumindest der OpenVPN Wizard anbietet die Regeln automatisch zu setzen.

Aber vielleicht ist hier noch der ein oder andere Advanced User das dazu mehr sagen kann.

gruss,
Astronach

Hallo Monstermania,


hm, bisher kann ich nicht von einem solchen Problem berichten. Meine OPNsense läuft seit 2 Tagen und bisher ist mir kein Zusammenbruch der Nic untergekommen.

Jetzt hab ich aber auch keine permanente 100Mbit Auslastung oder ähnliches.

Spasseshalber hab ich den Test gemacht den der andere TO erwähnt hat. Meine Zotac hat ein 10GB File mit 110Mbit gezogen auf LAN und WAN Seite (20GB Gesamttraffic) was in etwa den Werten entspricht mit der der TO seine Zotac ins Aus schiesst. Das war bei mir nicht der Fall.

Auf der anderen Seite, ich verwende die Zotac privat, also werde ich wahrscheinlich nie oder sehr selten mit dem Problem konfrontiert sein, damit kann ich leben.

Ich mein, die Zotac ist eben ein ThinClient und keine FW Hardware. Wenn ich eine Firewall brauche im Unternehmensumfeld, dann sollte ich auch entsprechend Hardware anschaffen. Wenn man jetzt irgendwie eine Filiale mit 2 Mitarbeitern mit ins Netz aufnehmen muss, dann kann man vielleicht drüber nachdenken die Zotac her zu nehmen, aber eigentlich ist es doch so, man stellt sich keine Consumergrade Hardware in seinen 24/7/365 Serverraum ohne mit Probleme zu rechnen.

Für mich ist die Zotac ein guter Mittelweg im Privatem Umfeld (bisher).

gruss,
Astronach

Moin,

ich markier den Thread als 'Gelöst' auch wenn es eigentlich nur die 'Halbe' Wahrheit ist.
Ich denke der Workaround mit dem USB-DVD Laufwerk würde funktionieren und wurde ja schon mehrfach angesprochen.
Das Nano Image geht man muss nur etwas warten bis sich was tut.

gruss,
Astronach