Messages

1

23.1 Production Series / Problems with CARP - bug?

« on: February 01, 2023, 06:50:41 pm »

Hi

I have problems since 23.x with one CARP interface. I've 4 of them and one starts on the fallback opnsense initiali in BACKUP status and then after 4-5s it changes to MASTER (with active master on the primary opnsense).
3 other CARP interfaces doesnt have this problem.

I dont have changed the configuration, only update from last 22.x to 22.1 and after this to 22.1_6
It is a known bug?

Greetz

2

German - Deutsch / Re: Synology Webmail (Mail Plus Client) + HAproxy

« on: October 04, 2021, 01:20:08 pm »

hat sich erledigt

Falls jemand das gleiche Problem haben sollte:
in HAproxy/RS als src ip die IP der opnsense eintragen
in DSM Weiterleitung http->https ausmachen wenn auch SSL Terminierung an der opnsense passieren soll...

Greetz

3

German - Deutsch / Synology Webmail (Mail Plus Client) + HAproxy

« on: October 04, 2021, 10:41:06 am »

Hi,

hat jemand die obige Konfiguration am laufen? Irgendwie will es hier nicht... Andere Dienste von der Syno (z.B. nextcloud über webstation) kein Problem. Bei dem Mail Plus Client bekomme ich so eine Seite angezeigt wenn ich es von außen anspreche:

<!DOCTYPE html>
<html>
  <script type="text/javascript">
    var uri = location.pathname + location.search + location.hash;
    var URL = 'https://' + location.hostname + '' + uri;
    location.replace(URL);
  </script>
</html>

ich denke da ist was mit JS was nicht richtig interpretiert wird... HAt jemand sowas am laufen und kann helfen? Configauszug reicht

Vielen Dank im Voraus!
Greetz

4

German - Deutsch / Re: MultiWAN und IPv6

« on: March 03, 2021, 01:01:32 pm »

Ja beide Upstream Gateway sind im selben VLAN. Die Gateways sind erst mal IPv4 seitig statisch konfiguriert.
Wenn ich das richtig verstanden habe werden die Präfixe dynamisch zugewiesen (Vodafone und 1und1)

5

German - Deutsch / MultiWAN und IPv6

« on: February 20, 2021, 03:02:46 pm »

Hallo

ich muss aus bestimmten Gründen beide Borderrouter die mit den IPS's verbunden sind in ein gleiches VLAN packen. Bei 2 verschiedenen VLANs war es kein Problem IPv6 von beiden ISP's zu den 2 Interfaces via DHCPv6 zugewiesen zu bekommen.
Jetzt aber soll ich 1 Interface haben, was dann mit beiden Borderroutern kommunizieren soll. IPv4 Gatewaytechnisch scheint es bei Opnsense kein Problem sein.
Aber was ist mit IPv6? Wie kann die gleiche Schnittstelle 2x DHCP IPv6 Adresse bekommen... Geht es?
Oder muss ich eine Art Alias IP einrichten und die getrennt behandeln?

Hat jemand schon mal sowas gemacht und kann ein bisschen Licht ins Dunkel bringen?

Greetz

6

German - Deutsch / Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare

« on: February 19, 2021, 09:07:09 am »

Alles hinbekommen! Danke noch mal für deine Anleitung!

7

German - Deutsch / Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare

« on: February 17, 2021, 07:59:53 pm »

bist du sicher das die Einstellung:

 server:
        tls-cert-bundle: /etc/ssl/cert.pem

korrekt ist? Da sind doch die Certs der opnsense drinnen... Sollte sies nicht auf /usr/local/share/certs/ca-root-nss.crt zeigen wo die root CA's drinnen sind?

8

German - Deutsch / Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare

« on: February 17, 2021, 07:58:21 pm »

Danke für deine schnelle Antwort. Habe erst richtig gelesen dass die http://www.dnssec-failed.org/ eine Fehler ergeben SOLL heheheh Aber nicht desto trotz ich habe immer noch nen "Wurm" drinnen... Die Webseiten die du genannt hast sind auch deutlich besser zum testen Danke noch mal!

9

German - Deutsch / Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare

« on: February 17, 2021, 04:38:06 pm »

vielen Dank für die Anleitung!

Ein Problem habe ich noch, die Auflösung von: www.dnssec-failed.org funktioniert nur auf opnsense selbst. Die Domain löst nur auf wenn man DNSSEC benutzt.
Wenn ich auf nem Linux Client via host die Domain auflösen will, funktioniert es nicht obwohl als resolver die opnsense Kiste eingetragen ist... Wieso?
Ich muss doch intern zwischen clients und opnsense kein DNSSEC benutzen oder? Nur wenn's nach "Außen" geht dann soll DNSSEC benutzt werden.
Denke ich irgendwie falsch?

10

20.1 Legacy Series / Re: Update to 20.1.8 and IPSEC VPN faded away

« on: July 03, 2020, 06:24:03 am »

same issue here... how can I apply the patch?

11

19.1 Legacy Series / HAproxy bug

« on: July 11, 2019, 08:09:48 am »

Hi all

HAproxy seems to have a bug in the last version of opnsense (OPNsense 19.1.10-amd64)
It hangs if it is running longer than 12-24h...

It answers the connection (check with telnet) but it sends no data. I havent found the error in log yet...

It is not possible to restart it with service command, I need to kill -9 the pid and then I can start it with service.

Greetz

12

19.7 Legacy Series / Feature Request: eap-mschapv2 for IPsec

« on: June 17, 2019, 12:08:19 pm »

Hi

it would be nice to have the possibility to build config as IPsec client with:

  eap_identity = "myusername"
  leftauth = eap-mschapv2
  rightauth = pubkey
  rightca = "cacert"

NordVPN uses someting like that...

TiA
Greetz

13

19.1 Legacy Series / own NAT/FW rules

« on: June 13, 2019, 08:47:41 am »

Hi

it is possible to define own NAT/FW Rules? I have configured a IPsec connectiion to my VPN Provider outside the WebUI (becaues of ms-eap auth) and this creates an interface tun0. I dont 'see' this interface in the WebUI but need some NAT/FW Rules for it.
Is there somewhere a file/dir where I can define own rules?

Greetz

14

German - Deutsch / IPSec zu VPN Provider... wo NAT?

« on: June 07, 2019, 08:59:44 am »

Hi

ich habe eine Verbindung zu einem VPN Provider außerhalb de WebUI konfiguriert. Da der VPN Provider eap-mschapv2 als Auth benutzt, sah ich keine Möglichkeit dies über die WebUI machen zu können... (vielleicht hat jemand einen Tip wie man es doch machen kann?)

Die Verbindung steht und hat auch ein Interface tun0 erstellt.
Jaaa aber wie gehst weiter?
Normalerweise würde ich jetzt einen Gateway erstellen und dann entsprechende Rules und NAT
Aber das Interface taugt natürlich nirgendwo in der WebUI auf...

Wie macht man sowas dann? Bzw. was wäre der richtige Weg für sowas?

Meine IPsec Config liegt in /usr/local/etc/ipsec.opnsense.d/my.conf

Code: [Select]

conn con10
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  eap_identity = "mangel@gmx.de"
  leftauth = eap-mschapv2
  left = %defaultroute
  leftsourceip = %config
  forceencaps = yes
  right = pl82.nordvpn.com
  rightauth = pubkey
  rightsubnet = 54.204.25.0/28,23.23.189.144/28,34.195.253.0/25
  rightid = pl82.nordvpn.com
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"
  type=tunnel
  auto=start

(ja ich weiß NordVPN geht über OpenVPN, ich will es aber über IPsec versuchen)

Kann jemand helfen?

15

General Discussion / own config for strongswan (not gui managed)

« on: June 06, 2019, 09:26:12 am »

Hi

it is ok to put own config for ipsec at /usr/local/etc/ipsec.opnsense.d/my.conf ?
(I cant set it up with WebUI)

Greetz