Topics

Hey, is it a Bug or a Feature, when i configure the new Instances Client to likely the same (persist-remote-ip, remote-random, route-noexec, route-nopull, some other Parameters are missing)
as the legacy, it doesnt set a IPv4 Gateway IP on the assigned OpenVPN Client Interface.
The legacy Client does.
Is there a way to enable this? Because the OpenVPN Server has changing Gateway IPs.

Hello, i've got a problem,
my sense is connecting to a openvpn server and i want to route one special client over this connection.
This works fine but only if i enable outbound nat on the sense.
If i disable outbound nat, the client cant access internet through vpn and cant ping the server.

VPN: 10.250.0.1
Sense: 10.250.0.2
Client: 192.168.191.10
Pings:
VPN -> Sense = OK
Sense -> VPN = OK
Client -> Sense = OK
Sense -> Client = NOK
Client -> VPN = NOK
VPN -> Client = NOK

server.conf

Code Select Expand

port 54058
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.250.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 192.168.191.0 255.255.255.0
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_2jEVQSBICbe6x00i.crt
key server_2jEVQSBICbe6x00i.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

ip routes vpn server

Code Select Expand

root@1becf65a:~# ip route get 10.250.0.2
10.250.0.2 dev tun0 src 10.250.0.1 uid 0
    cache

root@1becf65a:~# ip route get 192.168.191.1
192.168.191.1 via 10.250.0.2 dev tun0 src 10.250.0.1 uid 0
    cache

iptables server

Code Select Expand

iptables -A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

routes sense

Code Select Expand

10.250.0.0/24      10.250.0.1         UGS      ovpnc6
10.250.0.1         link#39            UH       ovpnc6
10.250.0.2         link#39            UHS         lo0

tcpdump on sense with ping from client to vpn server running

Code Select Expand

root@F1R3W4LL:~ # tcpdump -nn -i ovpnc6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpnc6, link-type NULL (BSD loopback), capture size 262144 bytes
01:55:31.543568 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 5, length 64
01:55:32.567544 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 6, length 64
01:55:33.591488 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 7, length 64
01:55:34.615450 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 8, length 64
01:55:35.639393 IP 192.168.191.10 > 10.250.0.1: ICMP echo request, id 31, seq 9, length 64

on the other side i get nothing

Code Select Expand

root@1becf65a:~# tcpdump -nn -i tun0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes

Looks like the packets are stuck inside the vpn or being filtered.
Has anyone an idea whats going on?
As i said, with enabled outbound nat, everything is working fine.

Hey, i'm facing the same issue described here
https://forum.opnsense.org/index.php?topic=14946.0
is there a way to fix this?

thanks!

Hello guys,
here a tutorial from me in English to get the domain search list under Android running.
As you may know, Android will not process or accept a from the dhcp server published domain search list.
The problem and the fix is described here:
https://www.manualslib.com/manual/1761369/Sennheiser-Mobileconnect.html?page=30

To get this running here the simple steps:
On the OPNsense WebIF select your desired network under Services -> DHCPv4
Domain name: PrimaryDomain <- note your domain
Domain search list: <your noted domain followed by the domains you want in search list, separated by semicolon>
Last item Additional Options -> click Advanced
Number: 15
Type: Text
Value: <your noted domain followed by the domains you want in search list, separated by spaces>
Click Save
Reconnect your Client and enjoy :D

Thanks to "micneu" for the "Additional Options hint"!

Guten Tag,
Android kann wohl schon immer die DHCP Option 119 (Domain search list) nicht verstehen,
was darin resultiert, dass Android die zusätzlichen Domains nicht auflöst.
Ärgerlich!
Ich habe nun diese Seite gefunden:
https://www.manualslib.com/manual/1761369/Sennheiser-Mobileconnect.html?page=30
Wo steht, dass Android wohl zusätzliche Domains annimmt indem man sie über Option 15 mitgibt.

Nun meine Frage:
Gibt es eine Möglichkeit die Option 15 (Domain name) des DHCP Servers der sense manuell einzustellen?
Über das Webinterface bekomme ich den Fehler "A valid domain name must be specified for the DNS domain."

Wäre echt super!
Vielen Dank, MfG

Hello guys,
I'm facing an issue that I can't seem to solve correctly and I'd love to get a tip of best practices:

I've 2 wans, one of them is a PPPoe and has it's target gateway changing from time to times. As I've a SIP PBX in the background, I've set the "Dynamic state reset" flat on the advance param. Unfortunatelly, this flag does not seem to be compatiple with the OpenVPN client that I use, as once the VPN client receives via DHCP an new ip, the states are reset and the connection is dropped.

Can I somehow enable the "Dynamic state reset" flag only for one interface? Or is there anoter way to achieve this ?
Thanks a lot in advance and best regards,

Hello,
i'm searching for a half size mini pcie wifi adapter which works with OPNsense.
Currently i'm having a card which does not work.

ath0: <Atheros 9285> mem 0xfea00000-0xfea0ffff irq 28 at device 0.0 on pci2
[ath] AR9285 Main LNA config: LNA1
[ath] AR9285 Alt LNA config: LNA2
[ath] LNA diversity disabled, Diversity disabled
ath0: [HT] enabling HT modes
ath0: [HT] 1 stream STBC receive enabled
ath0: [HT] 1 RX streams; 1 TX streams
ath0: AR9285 mac 192.2 RF5133 phy 14.0
ath0: 2GHz radio: 0x0000; 5GHz radio: 0x00c0
wlan0: changing name to 'ath0_wlan1'
ath0_wlan1: ieee80211_new_state_locked: pending RUN -> SCAN transition lost
ath0_wlan1: promiscuous mode enabled
ath0: device timeout

Can you recommend a half size mini pcie card or a chipset?
Alternative i can use a usb device.

Thanks!

Hey ho, ich habe seit geraumer Zeit ein WireGuard Site to Site Tunnel am laufen und nun öfter folgendes kurioses Problem:
Dadurch dass beide Seiten keine statische IP haben und zwangsgetrennt werden, habe ich ein Script geschrieben welches bei IP Wechsel die WireGuard Intanz neustartet um den DynDNS neuaufzulösen.
Das funktionierte auch ne Weile bis ich jetzt das Problem bekommen habe, dass er sich nicht neu verbindet.
Das lustige ist, dass wenn ich eine Teamviewer Verbindung (via ID) von Seite A zu Seite B aufbaue, sich plötzlich wie von Geisterhand der Tunnel von Seite B nach Seite A verbindet.
Gibt es eine Lösung ohne den States Reset bei Gateway Failure?
Das Internet reisst doch mal öfter ab und dass dann alle Verbindungen zurückgesetzt werden, auch in die anderen Subnetze ist eher kontraproduktiv.

Hey gibt es irgendwo eine Anleitung wie man IPv6 über OpenVPN zum Laufen bekommt?
IPv6 an sich läuft schon mal genau wie der VPN Tunnel über IPv4.
Was muss bei IPv6 Tunnel Network rein und was bei Local?

Vielen Dank schon mal!

Hey  ;)
Is it possible to set up a captive portal or something similar that shows me a portal site but does not disconnect the internet?
I would show a portal site to all users with the login (accept) button, but the internet must be always accessible.

Thanks!

Guten Abend,
ich habe mir jetzt eine UMTS Karte für den APU besorgt und eine SIM Karte steckt auch,
die Konfiguration müsste auch passen (PPP über 1&1 Mobilfunk) und trotzdem bekomme
ich folgende, sich immer wiederholende Fehler:

Code Select Expand

May 26 18:39:25 ppp: [opt1_link0] Link: reconnection attempt 3
May 26 18:39:24 ppp: [opt1_link0] Link: reconnection attempt 3 in 1 seconds
May 26 18:39:24 ppp: [opt1_link0] LCP: Down event
May 26 18:39:24 ppp: [opt1_link0] Link: DOWN event
May 26 18:39:24 ppp: [opt1_link0] MODEM: chat script failed
May 26 18:39:24 ppp: [opt1_link0] CHAT: The modem is not responding to "AT" at ModemCmd: label.

Meine Settings:
Link Type: PPP
Link interface(s): /dev/cuaU0 ( Qualcomm Incorporated HP un2420 Mobile Broadband Module, class 0/0, rev 2.00/0.02, addr 3)
Description:
Service Provider
Country: Germany
Provider: 1&1
Plan:  Mobile Broadband - web.vodafone.de
Username:
Password:
Phone Number   : *99#
Access Point Name (APN): web.vodafone.de

Was mir auffällt ist dass wenn ich neu in die Settings gehen der ganze Teil bei Service Provider wieder leer ist.

Weiss jemand was da los ist?

Guten Tag!
Ich hab da mal ein Anliegen:
Ich habe zwei Netzwerke die schon erfolgreich mit OpenVPN gekoppelt sind und möchte nun DNS Anfragen nach lokalen Hosts an den DNS Server im zweiten Netz weiterleiten.
Dazu habe ich den DNS Server vom zweiten Netz (192.168.178.200) in meine OPNsense bei System-Settings-General-DNS Servers eingetragen.
Im Log vom DNS im zweiten Netz sehe ich auch schon Querys von meinem Netz ankommen (nach externen Domains wie facebook usw), bloss funktioniert die Namensauflösung nach lokalen Hosts von meinen Clients nicht.

Code Select Expand

root@kali:~# nslookup bernd-pc
Server: 192.168.176.1
Address: 192.168.176.1#53

** server can't find bernd-pc: NXDOMAIN

root@kali:~# nslookup bernd-pc.localdomain
Server: 192.168.176.1
Address: 192.168.176.1#53

** server can't find bernd-pc.localdomain: NXDOMAIN


Auf der OPNsense sieht das so aus:

Code Select Expand

root@OPNsense:~ # nslookup bernd-pc
Server: 127.0.0.1
Address: 127.0.0.1#53

** server can't find bernd-pc: NXDOMAIN

root@OPNsense:~ # nslookup bernd-pc 192.168.178.200
Server: 192.168.178.200
Address: 192.168.178.200#53

Name: bernd-pc.localdomain
Address: 192.168.178.2


Also prinzipiell nimmt der DNS im zweiten Netz Anfragen von meinem Netz entgegen, aber irgendwas ist da noch falsch  :-\

Hi!
Wollte mal fragen ob der WLAN 802.11w Standard (Protected Management Frames (PMF)) unterstützt wird und wie man den aktivieren kann.

Guten Tag und schönes Wochenende!
Kann es sein dass die Temperatur von der APU2C4 CPU nicht korrekt ausgelesen wird?
Ich habe amdtemp geladen und die Temperatur zeigt heute 71°C im Idle an... sonst immer so bei 68°C.
Das Gehäuse wird warm, aber ich kann es locker längere Zeit anfassen ohne mich zu verbrennen.
Die Metallplatte sitzt richtig und das Pad hab ich schon gegen richtige Wärmeleitpaste getauscht, ohne nennenswerte Unterschiede...

Guten Tag!
Kann es sein dass der Resetbutton vom APU2C4 nicht zugewiesen ist?
Hab ein Reset wie in diesem Video probiert https://www.youtube.com/watch?v=4Rp7pfZ4vCY weil meine Config komplett verhunzt ist, aber da passiert leider nichts.

Vielen Dank!

Nabend!
Ich hatte an meinem APU2C4 ein paar harmlose Änderungen an der Firewall durchgeführt und nachdem mein DMZ Interface plötzlich weg war, hab ich mal einen Neustart angestoßen.
Ende vom Lied: Er bleibt so stehen und nichts geht mehr. (auch keine Reaktion über Terminal)
(Auszug vom Boot)

Code Select Expand

***** PLEASE RERUN FSCK *****
** /dev/gpt/rootfs
** Last Mounted on /mnt
** Root file system
** Phase 1 - Check Blocks and Sizes
** Phase 2 - Check Pathnames
** Phase 3 - Check Connectivity
** Phase 4 - Check Reference Counts
** Phase 5 - Check Cyl groups
ugen1.2: <vendor 0x0438> at usbus1
uhub2: <vendor 0x0438 product 0x7900, class 9/0, rev 2.00/0.18, addr 2> on usbus1
32869 files, 258084 used, 3273664 free (688 frags, 409122 blocks, 0.0% fragmentation)

***** FILE SYSTEM MARKED CLEAN *****
uhub2: 4 ports with 4 removable, self powered
Configuring crash dump device: /dev/null
.ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib /usr/local/lib/heimdal /usr/local/lib/ipsec /usr/local/lib/perl5/5.24/mach/CORE
32-bit compatibility ldconfig path:
done.
Starting configd.
Launching the init system...done.
Initializing..............done.
Configuring loopback interface...done.
Loading configuration...done.
Starting device manager...done.
Configuring login behaviour...done.
Configuring kernel modules...aesni0: <AES-CBC,AES-XTS,AES-GCM,AES-ICM> on motherboard
amdtemp0: <AMD CPU On-Die Thermal Sensors> on hostb5
done.
Setting up extended sysctls...done.
Setting timezone...done.
Writing firmware setting...done.
Setting hostname: OPNsense.localdomain
Generating /etc/hosts...done.
Starting syslog...done.
Creating OpenVPN instances...done.
Configuring loopback interface...done.
Creating wireless clone interfaces...done.
Configuring LAGG interfaces...done.
Configuring VLAN interfaces...done.
Configuring QinQ interfaces...done.
Configuring LAN_IF interface...done.
Configuring WAN interface...done.
bridge0: Ethernet address: 02:6f:7a:41:07:00
Syncing OpenVPN settings...done.
Generating /etc/resolv.conf...done.
Configuring firewall......done.
Setting up gateway monitors...done.
Starting web GUI...done.
Configuring CRON...done.
Setting up routes...done.
Starting DNS Forwarder...done.
Generating /etc/hosts...done.
Configuring firewall......done.
Starting NTP service...deferred.
Generating RRD graphs...done.
Starting syslog...done.
Starting flowd.
Starting flowd_aggregate.
error : interface opt1 not found
error : interface opt2 not found
error : interface openvpn not found
error : interface opt4 not found
Starting squid.
Starting suricata.
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_FASTER_CAPTURE_AVAILABLE(275)] - faster capture option is available: NETMAP (--netmap=igb0). Use --pcap=igb0 to suppress this warning
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_FASTER_CAPTURE_AVAILABLE(275)] - faster capture option is available: NETMAP (--netmap=opt1). Use --pcap=opt1 to suppress this warning
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_PCAP_MULTI_DEV_EXPERIMENTAL(177)] - using multiple pcap devices to get packets is experimental.
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_FASTER_CAPTURE_AVAILABLE(275)] - faster capture option is available: NETMAP (--netmap=opt2). Use --pcap=opt2 to suppress this warning
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_PCAP_MULTI_DEV_EXPERIMENTAL(177)] - using multiple pcap devices to get packets is experimental.
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_FASTER_CAPTURE_AVAILABLE(275)] - faster capture option is available: NETMAP (--netmap=igb1). Use --pcap=igb1 to suppress this warning
13/2/2017 -- 21:03:18 - <Warning> - [ERRCODE: SC_WARN_PCAP_MULTI_DEV_EXPERIMENTAL(177)] - using multiple pcap devices to get packets is experimental.
13/2/2017 -- 21:03:18 - <Info> - Including configuration file installed_rules.yaml.
13/2/2017 -- 21:03:18 - <Error> - [ERRCODE: SC_ERR_FOPEN(44)] - Failed to open configuration include file /usr/local/etc/suricata/installed_rules.yaml: No such file or directory
/usr/local/etc/rc.d/suricata: WARNING: failed to start suricata
Starting CRON...done.

*** OPNsense.localdomain: OPNsense 17.1 (amd64/OpenSSL) ***

LAN_IF (igb0)   ->
WAN (igb1)      ->

Habt ihr eine Idee wo der Fehler liegt und ob man da noch was retten kann?
Könnte es sein, dass die mSATA SSD die dabei war (noname 16GB) ein Ding weg hat?

Guten Tag!
Ich bin via OpenVPN Client mit einem anderen Netzwerk verbunden, Verbindungen (Routing) in beide Richtungen funktionieren.
Ist es möglich irgendwie die DNS Server von beiden Netzwerken miteinander zu verbinden so dass ich aus beiden Netzwerken die jeweils anderen Clients über den Namen erreiche?
Ich hatte auch irgendwo was von Broadcasts weiterleiten gelesen, wäre es damit möglich die Rechner in der Netzwerkumgebung zu sehen?
Wo müsste ich welche Option aktivieren?

Vielen Dank!

Hello!
I have many clients connected via wireless and my firewall log is full of TCP:FA, TCP:PA, TCP:RA and TCP:FPA entrys like these:
Feb 5 13:09:46   LAN   192.168.176.11   31.13.91.2:443   TCP:RA
Feb 5 13:09:46   LAN   192.168.176.11   31.13.91.2:443   TCP:RA
Feb 5 13:09:36   GUEST   192.168.177.40   216.58.206.10:443   TCP:PA
Feb 5 13:09:36   GUEST   192.168.177.40   172.217.22.46:443   TCP:FPA
Feb 5 13:09:34   GUEST   192.168.177.40   172.217.22.74:443   TCP:PA
Feb 5 13:09:34   GUEST   192.168.177.40   216.58.206.10:443   TCP:PA
Feb 5 13:09:34   GUEST   192.168.177.40   172.217.22.46:443   TCP:FPA
Feb 5 13:09:33   GUEST   192.168.177.40   216.58.206.10:443   TCP:FPA
Feb 5 13:09:33   GUEST   192.168.177.40   172.217.22.46:443   TCP:FPA
Feb 5 13:09:33   GUEST   192.168.177.40   216.58.206.10:443   TCP:FPA
Feb 5 13:09:33   GUEST   192.168.177.40   216.58.206.10:443   TCP:PA
Feb 5 13:09:32   GUEST   192.168.177.40   172.217.22.46:443   TCP:FPA
Feb 5 13:09:32   GUEST   192.168.177.40   172.217.22.46:443   TCP:FA
Feb 5 13:09:32   GUEST   192.168.177.40   172.217.22.46:443   TCP:FA
Feb 5 13:09:32   GUEST   192.168.177.40   172.217.22.46:443   TCP:PA
Feb 5 13:08:58   LAN   192.168.176.11   127.0.0.1:3128   TCP:FA
Is it possible to deactivate the logging of these?
I also have many of
Feb 5 13:06:06   LAN   0.0.0.0   224.0.0.1   IGMP
entrys.

Guten Abend.
Ich hab jetzt soweit alles hinbekommen nach meiner Umstellung von IPFire auf OPNsense, habe aber noch ein paar Fragen offen die ihr mir hoffentlich beantworten könnt.

Ist es möglich die Firewall Hits (geht mir hauptsächlich um die blocks) besser darzustellen?
Beim IPFire konnte ich so schön sehen auf welchen Ports versucht wurde zuzugreifen und dementsprechend sortieren.
http://wiki.ipfire.org/_media/en/configuration/logs/configuration_logs_firewall-port_summary_1.png
http://wiki.ipfire.org/_media/en/configuration/logs/configuration_logs_firewall-port_summary_2.png

Und ist es möglich die Access Log vom Webproxy wie bei IPFire nach Client IP zu filtern usw?
https://cyberoperations.files.wordpress.com/2012/04/screenshot-ipfire-proxy-log-viewer-mozilla-firefox.png

Vielen Dank und schönes Restwochenende!

Guten Morgen!
Ich möchte gerne den Umstieg von IPFire auf OPNSense wagen und würde gerne wissen ob es möglich ist Pakete wie ntop oder ntopng nachzuinstallieren.
Bei IPFire gibt es meiner Meinung nach keine Möglichkeit via dpkg oder ähnlichen Pakete zu installieren.
ntop bzw. ntopng wäre schon ein sehr hilfreiches Tool.

Vielen Dank!