Messages

196

German - Deutsch / Re: Update auf 18.1 https(web ssl) connection zu opn-box wird nicht mehr akzeptiert!

« on: January 29, 2018, 11:06:43 pm »

Schau dir mal deine ACLs an. Sind da welche hinzugekommen oder wurden neu geladen?
Der Fehler kommt mir seltsam bekannt vor. Ich hatte ihn mal, als ich eine Webseite auf der no-bump list  hatte, die aber durch eine ACL schon geblacklisted war.

197

German - Deutsch / Re: Kein Internet über IPv4 nach 18.1 Upgrade

« on: January 29, 2018, 10:54:06 pm »

Okay, hier die Lösung:

Früher konnte ich folgende Regeln problemlos einrichten:

Version v4 Protokoll ICMP oder v6 und ICMP.

Jetzt MUSS man scheinbar für IPv4 das Protokoll "ICMP" und für IPv6 das Protokoll "IPV6-ICMP" verwenden.
Desweiteren dürfen keine Regeln mehr angelegt werden, die "IPv4+IPv6" als Version haben und mit ICMP zu tun haben.

Konnte man manches in der Vorversion noch zusammenfassen, so muss man es jetzt streng getrennt konfigurieren.

Wie es jetzt genau dazu führte, dass meine IPv4 Konnektivität im A... war weiß ich auch nicht.

Aber falls jemand mal drüber stolpert: ICMP für v4 und v6 können NICHT mehr zusammen konfiguriert werden.

198

German - Deutsch / Re: Kein Internet über IPv4 nach 18.1 Upgrade

« on: January 29, 2018, 10:10:35 pm »

Plötzlich läuft es wieder. Keine Ahnung warum. Habe mit ein paar WAN Rules gespielt, die ICMP betreffen. ICMP Ping habe ich für v4 deaktiviert und danach habe ich eine rule, die icmp für v6 erlaubt.

ich bekomme seit dem Upgrade oben in der Kopfzeile so komische Fehlermeldungen

Code: [Select]

01-29-18 21:55:54 [ There were error(s) loading the rules: /tmp/rules.debug:126:#proto icmp doesnt match address family
inet6 - The line in question reads [126]: pass in quick on pppoe0 reply-to
( pppoe0 fe80::5651:1bff:fe83:bbbd ) inet6 proto icmp from {any} to {any} keep state label
USER_RULE: ICMP # adb459d7979ea6d103ddb05ee854f186]

199

German - Deutsch / [gelöst] Kein Internet über IPv4 nach 18.1 Upgrade

« on: January 29, 2018, 09:43:53 pm »

Hi,

habe gerade das Upgrade gemacht. Jetzt geht das Internet nicht mehr, zumindest das IPv4 Internet.

- PPPoE Verbindung ist erfolgreich, ich habe eine IPv4 Adresse
- Firewallregeln sind OK, nichts dran gebastelt
- NAT Regeln: Genauso
- Von der Shell der OPNsense ist Internetzugriff möglich
- DHCP Optionen werden korrekt an Clients gegeben
- Clients erhalten das richtige Standardgateway
- OPNsense Gateway ist korrekt konfiguriert
- Routen der OPNsense sehen auch OK aus.

Was kann ich jetzt noch machen um das Problem zu finden?

200

German - Deutsch / Re: PPP LTE Modem Konfiguration // dial-on demand

« on: January 29, 2018, 06:05:14 pm »

Ist die LTE Verbindung die einzige WAN Verbindung?

Wird die Verbindung wieder aufgebaut, wenn du direkt auf der OPNsense selbst eine Aktion durchführst? zB. auf der Shell mal ne externe IP pingen.

201

German - Deutsch / Re: WLAN einbinden

« on: January 29, 2018, 05:53:06 pm »

> Geräte können sich im WLAN Anmelden und erhalten eine IP Adresse.

Ich nehme an, Geräte im WLAN können untereinander kommunizieren.

Welches Standardgateway trägst du via DHCP denn bei den Clients ein? Die OPNsense oder die Fritte?

>LAN  PASS LAN-Net  alle Ports zum WLAN-NET alle Ports
>WLAN PASS WLAN-NET alle Ports zum LAN-NET  alle Ports

Hast du auch Firewall Rules, die Traffic von WLAN nach WAN erlauben?
Also:
LAN  PASS LAN-Net  alle Ports zum WAN-Netz alle Ports
WLAN PASS WLAN-NET alle Ports zum WAN-NET  alle Ports

Weil sonst werden Pakete ans Internet blockiert, wenn du nur obige Regeln hast.

Hast du an den ausgehenden NAT Regeln was verändert? Sind die auf manuell oder so? Falls nein sollte da alles ok sein. Falls ja, musst du wohl zusätzliche Regeln schreiben.

202

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: January 29, 2018, 05:42:17 pm »

Lieschen Müller bekommt davon ja gar nix mit. Aber wenn du seit eh und je VPN benutzt und forwardest und plötzlich hast du keine öffentliche IPv4 mehr dann stehst du echt wie der Ochs vorm Berg. Glücklicherweise kann man es bei meinem ISP über den Kundensupport wieder auf Dual Stack umschalten. Im Endeffekt werden für den Provider dadurch aber mehr v4 Adressen frei als vielleicht zurückgefordert werden.

Aber was dann? Der ISP wird garantiet diese v4 Adressen nicht stilllegen, sondern noch Kohle damit machen. Entweder teuer an Servermieter verkaufen oder vielleicht sogar blockweise verscherbeln. Es sollte ne Richtlinie geben, nach der freie Blöcke einfach wieder an die RiRs zurückgegeben werden damit v4 endlich mal stirbt.

203

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: January 29, 2018, 03:59:52 pm »

Ja, was die ISPs da teilweise veranstalten ist schon unverständlich. Mein ISP hat vor kurzem viele Umstellungen vogenommen. Von heut auf morgen hatten plötzlich 90% der Kunden DS-Lite statt Full DualStack.

204

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: January 29, 2018, 12:15:57 pm »

Ich gebe zu, dass der rotierende Präfix schon Grütze machen kann. Allerdings muss man aber auch ganz ehrlich sagen, dass allein der Präfix bei einem Internetanschluss zumindest den Haushalt eindeutig identifiziert, wenn der nicht randomisiert ist.
Desweiteren gehen feste IPs/Präfixe leider mit einem Whois Eintrag beim RIPE einher.
Also für Mutter, Oma usw. finde ich es schon ok, wenn sie das Präfix rotieren.

Leider bietet mein Anbieter auch auf Nachfrage kein festes Präfix, was etwas schade ist. Aber man will wohl sowas den Businesskunden teuer verkaufen.

Auf das ganze NAT Geschmarre oder NPT hab ich auch keine Lust. Also werde ich wohl IPv6 nutzen wozu man es geschaffen hat - Direkt Ende zu Ende.

205

German - Deutsch / OpenVPN und IPv6 Gedanken und Unverständnis

« on: January 28, 2018, 05:16:56 pm »

Hallo,

ich würde OpenVPN gern zusätzlich über IPv6 verfügbar machen. Hat damit jemand Erfahrungen? Speziell interessiert mich: Wie bekomme ich Zugriff auf mein LAN vom VPN Client aus?

Bei IPv4 puppig einfach: Die Option Lokales IPv4-Netzwerk benutzen.

Bei IPv6 ergeben sich aber meiner Meinung nach Schwierigkeiten. Dazu muss ich sagen, dass meine IPv6 Konfiguration folgende ist:

WAN (via PPPoE): DHCPv6

Code: [Select]

Nur einen IPv6-Präfix anfordern: Ja
DHCPv6 Prefix Delegation Größe: 56
Sende einen IPv6-Präfixhinweis: Ja
Sende SOLICIT direkt: Ja
IPv4-Verbindung verwenden: Ja

LAN: Schnittstelle aufzeichen

Code: [Select]

Schnittstelle: WAN
IPv6 Präfix ID: 0

An erster Stelle eine Nebenfrage: Wozu dient genau die Präfix ID?

Jetzt zum Problem das ich denktechnisch habe:

Alle meine IPv6 Clients beziehen eine global unicast und werden über den radvd der sense konfiguriert. Da ich bei jeder Einwahl vom Provider ein neues Präfix bekomme, müsste ich den VPN Server ja jedes mal neu konfigurieren.
Wobei das ja mMn. auch sinnlos wäre, weil ich mich durch global unicasts eh direkt mit jedem meiner Rechner ohne eine VPN Verbindung connecten kann, wenn ich die entsprechenden Rules habe.

Sinn würde es machen, wenn mein LAN manuell mit unique local konfiguriert wäre. Ich wüsste sofort, welches Netz ich bei OpenVPN eintragen müsste. Ich würde dann auch den radvd oder DHCPv6 einrichten, dass es meinen Clients Adressen in meinem unique local Netz zuweist. Dann hätte ich aber gewissermaßen nix anderes als IPv4 und müsste ja dann von meinem unique local Netz auf eine unique global Adresse natten, wenn die Clients ins Internet sollen?

Eine Möglichkeit, radvd und DHCPv6 mit nem tracked Interface zu konfigurieren gibt es ja nicht. Da brauche ich statische IPs. Außerdem kann ich einem Interface auch nicht gleichzeitig ne statische unique local UND eine unique global Adresse geben, oder? Das alles verwirrt mich etwas.

Wie würdet ihr das ganze einrichten?

206

German - Deutsch / Re: CSS Template(s) erstellen ?

« on: January 26, 2018, 11:17:19 am »

Was die Einstiegshürde betrifft muss ich dir zustimmen. Gerade für Nicht-Entwickler ist sie ziemlich hoch und meiner Meinung nach fehlt dem Wiki ein vielen Fällen einfach ein "How to get started".

Es ist sehr viel Architektur dokumentiert und die Doku ist nun mal auch ziemlich code - und detailzentrisch.
Auch die einzelnen How-Tos lassen leider etwas Tiefe vermissen.

Aber das geht jetzt auch langsam aus dem Scope des Threadtitels. 

207

German - Deutsch / Re: CSS Template(s) erstellen ?

« on: January 26, 2018, 10:25:02 am »

Man könnte ins Wiki vielleicht ein paar Eckpfeiler zu Templating und Styling schreiben.
Aber dennoch sehe ich das ein wenig anders. Ich will jetzt nicht klugscheißen, aber ich will dir erklären, wie manche Sachen funktionieren und warum manches so ist, wie es ist.

"Mini-Tutorials" wie du es nennst bilden eben nur einen Mini-Teil ab. Das kann im schlechtesten Fall dafür sorgen, dass ein Beiträger zwar gut anfängt, sich dann aber etwas in Details verrennt oder dann langsam "vom Weg abkommt" - weiß nicht wie ich es genauer beschreiben kann. Manchmal ist es eben nicht genug "nur ein bisschen" zu können/machen.

Allumfassende Tutorials sind mit extremem Aufwand verbunden und es wird dabei viel Wissen "kopiert", das man sich von woanders einfacher holen könnte. Es gibt in der Entwicklung die Begriffe Scope und Concern.
Je nach Kontext bedeuten sie unterschiedliche Sachen, aber im Falle hier verwende ich sie mal synonym. Gemeint ist die Zuständigkeit und wie weit sie reicht. Was also im Scope ist, und was nicht.
Wenn man die Zuständigkeiten nicht trennt und begrenzt ufert es aus.

Der Scope des Wikis, des Forums, der Webseite und des Codes hier ist und bleibt OPNsense. Daher findest du hier auch Infos und Dokumentation zu fast allem (auch der Architektur von Plugins).

Github zB. ist aber ein völlig anderer Scope, ein anderes Thema. Dahinter steckt nicht nur die Webseite, sondern in erster Linie auch die Versionsverwaltung Git. Beides auch Themen, zu denen sich schon ganze Bücher füllen lassen. Wenn jetzt jedes Projekt das mit Git arbeitet noch ein eigenes Git-Tutorial schreiben würde/müsste, kannst du dir den Berg an zusätzlicher Arbeit sicher erahnen ;-)

Wenn ich beim Bäcker um die Ecke ein belegtes Brötchen kaufe frage ich so gesehen den Bäckermeister ja auch nicht, warum man ein Schnitzel klopft. Der packt halt das Schnitzel einfach aufs Brötchen.

Wenn du Hilfe zu Github brauchst, schaust du hier: https://help.github.com/
Wenn du mehr über Git verstehen willst, für das Github nur eine Oberfläche ist, schau hier: https://git-scm.com/doc

Überall findest du auch leicht verständliche Tutorials und Erklärungen. Zuhauf sogar auf deutsch. Aber niemand wird hier einzeln alles zusammenklauben und komprimiert zur Verfügung stellen. Denn selbst das würde irgendwann in ein ganzes Buch münden.

Was fabian geschrieben hat sind kleine Tipps und Anhaltspunkte für dich. Ein Tutorial um es ins Wiki zu schreiben ist es nicht.

Keiner wird dich hier für Fragen köpfen. Auch nicht wenn es mal um ein anderes Thema geht wie externe Entwicklungstools und wie sie mit OPNsense interagieren. Aber man kann sich nun mal nicht hinstellen und sagen: Hier ist mein Fragenkatalog, bitte beantworten und danach ein Tutorial erstellen. Ich glaube so kam es nämlich ein bisschen rüber.

208

German - Deutsch / Re: CSS Template(s) erstellen ?

« on: January 25, 2018, 09:01:51 pm »

Posted by: opnsense_user12123
ich investiere neben meinem Beruf und Privatleben freiwillig auch viel Zeit und Energie um ein brauchbares Template zu erstellen.

Ich bin deshalb über jede Information die mir Stunden oder Tage von Zeitaufwand erspart sehr dankbar.

Ich denke, dass dir das keiner in Abrede stellen will. Jeder, der etwas beiträgt ist willkommen. Dass man das meist in der Freizeit machen muss ist klar, wenn man nicht beruflich für das Projekt/die Firma tätig ist.

Dennoch, OPNsense ist ein Projekt das weit über Templating hinausgeht. Es ist so umfassend, dass es leider nicht damit getan ist, ein Template per FTP hochzuladen und fertig. Die Entwicklung muss über viele Technologien und viele Contributer hinweg einheitlich gestaltet werden. Das fügt natürlich eine zusätzliche Ebene der Komplexität ein. Es bedeutet auch, dass du dich selbst mit Dingen befassen musst, die du nicht kennst und auch einiges Neues lernen musst. Das ist leider der unbequeme Teil, ohne den es aber nicht geht.

Aber niemand zwingt dich morgen fertig zu sein. Nimm dir ruhig die Zeit und du wirst sehen, es lohnt sich. Schritt für Schritt verstehst du mehr und wenn dein Projekt dann fertig ist, wirst du umso stolzer sein.

Was Franco meint ist, dass dir zwar hier geholfen wird was OPNsense angeht, aber Vieles drumherum musst du auch selbst in Erfahrung bringen. Denn auch wir verbringen unsere Freizeit hier und können kein "Mentor für alles auf Abruf" sein.

209

German - Deutsch / Re: sudoers.d Verhalten

« on: January 22, 2018, 09:03:29 pm »

Oh, die Option habe ich noch gar nicht gesehen.
Nachdem ich sie aktiviert habe steht in sudoers.d/opnsense, dass alle user der wheel-Gruppe via sudo Rootrechte kriegen dürfen.

Wer bekommt denn die wheel Gruppe? Mein nur für VPN genutzter User ist zB. nicht drin.

210

German - Deutsch / [gelöst] sudoers.d Verhalten

« on: January 22, 2018, 08:31:47 pm »

Hallo!

ich habe auf meiner sense root deaktiviert und habe einen Adminuser, den ich im sudoers.d Verzeichnis hinterlegt habe. Alle paar Tage verschwindet das allerdings. Wird das sudoers.d Verzeichnis nicht persistiert oder regelmäßig gecleaned?