Messages

1111

19.7 Legacy Series / Re: dyndns getting wrong ip

« on: December 19, 2019, 10:55:17 am »

Is your WAN interface IPv4 address an RFC 6598 address (100.64.0.0/10)? If so, it's basically impossible that incoming connections from the Internet work. Did you test this?

(But you can use the Dynamic DNS Custom service type and configure the update URL to include the interface address: https://www.noip.com/integrate/request)

Cheers

Maurice

1112

19.7 Legacy Series / Re: DHCPv4 Service - Removed domain field vaule, but it's not removed on clients

« on: December 19, 2019, 10:24:12 am »

Did you specify a domain in System / Settings / General?
This will be used if you clear the domain field in the DHCP settings.

Cheers

Maurice

1113

19.7 Legacy Series / Re: DynDNS for ipv4 AND ipv6 ?

« on: December 13, 2019, 05:12:45 pm »

You have to create two dynamic DNS tasks, one for AAAA and one for A. Which unfortunately doesn't work with all dynamic DNS providers. See also:
https://github.com/opnsense/plugins/issues/1611
https://github.com/opnsense/plugins/issues/1612

Cheers

Maurice

1114

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 12, 2019, 11:45:52 am »

DG schaltet also DS-Lite, meinst Du vermutlich?

Nein, ich meine Dual-Stack mit CGN. Bei DS-Lite werden IPv4-Pakete in IPv6-Pakete gekapselt. Stichwort B4 / AFTR. Das macht DG nicht.

Denn Dual Stack wäre toll, dann könnte ich per IPv4 von außen drauf.

Geht wie gesagt nicht wegen CGN.

Es gibt viele mittelständige Unernehmen (Rechtsanwälte, Zahnarztpraxen) die einen Internetanschluss mit Zwangstrennung haben.

Die wenigsten Zahnarztpraxen dürften Server im Intranet haben, die direkt aus dem Internet erreichbar sein müssen. Nur dann ist das ja relevant. Außerdem haben Business-Anschlüsse in der Regel ein festes Präfix.

Was wäre denn die Alternative zu OPNSense?
Kann das PFSense, oder Sophos?

Kann dir keinen Marktüberblick anbieten, aber Lancom kann beispielsweise ganz gut mit dynamischen Präfixen umgehen.

1115

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 11, 2019, 10:25:22 pm »

DG schaltet Dual-Stack (IPv6 + IPv4). IPv4 allerdings mit CGN, es sind daher nur ausgehende Verbindungen möglich. Wie stabil dort das IPv6-Präfix ist weiß ich nicht. Ausprobieren und dann entscheiden, ob OPNsense die richtige Wahl ist.

Im LAN kannst Du natürlich auch Dual-Stack fahren. ULAs verwendet man meistens zusätzlich zu GUAs für die Kommunikation im Intranet (auch via VPN). Nur ULAs zu verwenden und zu NATen funktioniert tatsächlich auch (NPT). Das empfiehlt sich aber nur in Ausnahmefällen.

Alte IPv4-only Geräte im LAN erreichst Du aus dem Internet am besten via VPN. Falls unbedingt ein Zugriff ohne VPN erforderlich ist wäre ein Proxy eine Möglichkeit. Wobei bei solchen Geräten das Sicherheitsniveau vielleicht sowieso nicht so ist, dass man die direkt aus dem Internet erreichbar machen möchte.

Etwas komplizierter wird es, falls Du auch von alten IPv4-only-Anschlüssen aus auf das Netz zugreifen musst. Das geht dann nur über einen extern gehosteten Dienst (Tunnel etc.).

Grüße

Maurice

1116

General Discussion / Re: VPN routing to other subnet over LAN host as gateway

« on: December 11, 2019, 12:05:26 pm »

What about a traceroute in the opposite direction? From a host in the VOIPLAN to a VPN client. Could it be an issue with the L3 "switch"?

Cheers

Maurice

1117

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 10, 2019, 12:55:42 pm »

Um einen ISP mit "Zwangstrennung" und ständig wechselndem Präfix würde ich einen großen Bogen machen. Selbst bei vielen 08/15-Consumer-Anschlüssen ist das Präfix de facto statisch (wenn auch nicht offiziell).

OPNsense tut sich in der Tat noch schwer mit dynamischen Präfixen. Entweder anderen ISP nehmen oder eine Firewall, die damit besser umgehen kann.

Bei reinen IPv6-Anschlüssen bieten die ISPs in der Regel DS-Lite, NAT64 o. Ä. an, einen eigenen "Proxy" für ausgehende IPv4-Verbindungen brauchst Du daher nicht.

Außerdem würde ich zusätzlich ULAs einsetzen, damit bist Du zumindest intern unabhängig vom Präfix, das der Provider delegiert.

Das interne Netz solltest Du so weit wie möglich auf IPv6 umstellen. Wahrscheinlich wirst Du ein paar ältere Geräte haben, die das nicht unterstützen. Falls die aus dem Internet erreichbar sein sollen: VPN.

Grüße

Maurice

1118

General Discussion / Re: connect multiple vpn users in lan to a vpn serveur

« on: December 06, 2019, 07:44:35 pm »

my version is OPNsense 16.7.14

Is that a typo?

1119

German - Deutsch / Re: lagg und vlan sowohl für wan wie auch lan eine gute idee

« on: December 02, 2019, 11:17:40 pm »

Eigentlich war der plan direkt vom modem über ein Vlan auf einen Windows Server 2012R2 zu gehen und dort eine Virtuelle Firewall zu betreiben.
Leider war die Leistung total Schlecht. Speedtest wie auch ping waren ok, allerdings war der Seitenaufbau Total Langsam.

Das ist erstaunlich, denn so ein Setup ist nicht unüblich. Auch hier läuft u. A. eine OPNsense in Hyper-V auf einem Windows Server 2012 R2, und zwar auf ziemlich betagter Hardware. Falls der Server sowieso vorhanden ist und immer läuft würde ich das nochmal angehen.
Machst Du das VLAN-Tagging in Hyper-V oder direkt in OPNsense? Würde immer ersteres empfehlen.

Ob sich Link Aggregation hier lohnt ist fraglich. Bringt auf jeden Fall mehr Komplexität in den Aufbau und das sollte gerechtfertigt sein. Es hätte nur dann einen Vorteil, falls Du sehr viel gerouteten Traffic zwischen den verschiedenen LANs hast. Dann würde ich es testen. Anderenfalls: Ein Port für das WAN und einer für die LANs. Ob Du das Modem direkt an die OPNsense hängst oder über den Switch gehst ist dann egal.

Grüße

Maurice

1120

19.7 Legacy Series / Re: How to block internet access for one device vs IPv6 ?

« on: December 01, 2019, 02:20:38 pm »

With OPNsense this can currently only be done with a static IPv6 prefix. It's not possible to create firewall rules which work with dynamic prefixes. I think this is work in progress (other firewalls can do it).

Whether your prefix is static or not, you have to ask your ISP. On a business plan it should be, on a consumer plan it usually isn't. But even if you don't officially get a static prefix, many ISPs won't change it for months or even years. You'll have to find out. Just make sure "Prevent release" is enabled in the WAN interface DHCPv6 settings.

Like fabian explained, even with a static prefix, it only works when using stateful DHCPv6 (not supported by all devices) or disabling privacy extensions on the device (also not possible on some devices).

A more robust approach would be moving the device(s) to a separate "no Internet" (V)LAN.

Cheers

Maurice

1121

19.7 Legacy Series / Re: OPNsense time is 1 minute slow; affecting TOTP

« on: November 29, 2019, 03:01:59 am »

Disabling NTP in OPNsense and letting the Hyper-V time sync integration service do its magic is definitely the way to go. No configuration required. The Hyper-V host's clock needs to be accurate, so make sure Windows syncs to a reliable time server.

Cheers

Maurice

1122

German - Deutsch / Re: RDP Verbindung über VPN herstellen

« on: November 27, 2019, 12:06:17 pm »

RDP wäre dann nicht mehr über die öffentliche IP-Adresse des Windows-Servers erreichbar, aber über die öffentliche IP-Adresse der OPNsense. Was wäre damit gewonnen? Dass der Port anders ist? Und dafür der ganze Aufwand?
Falls es nur um den RDP-Port geht, ändere den doch einfach direkt auf den Windows-Servern.

Grüße

Maurice

1123

19.7 Legacy Series / Re: OpenVPN: remote routes work from shell, not from LAN

« on: November 26, 2019, 08:14:00 pm »

Does the remote site have a route to the LAN on your site? So, when pinging 10.3.2.40 from 10.99.0.1, do these packets enter the tunnel?

Cheers

Maurice

1124

General Discussion / Re: noob: gui HTTPS gives me err_cert_invalid

« on: November 26, 2019, 06:15:21 pm »

Does OPNsense now use HTTPS by default? Wasn't aware of this. Has been a while since I did a fresh install. So I assumed you enabled HTTPS without having a valid certificate. My bad.

There is a basic ACME / Let's Encrypt quick start guide on GitHub: https://github.com/opnsense/plugins/pull/66

Cheers

Maurice

1125

General Discussion / Re: noob: gui HTTPS gives me err_cert_invalid

« on: November 26, 2019, 05:55:20 pm »

Why not just use the Let's Encrypt plugin to get a free, valid certificate?