Topics

I have a strange status in CARP interfaces:

Code Select Expand

DMZ 40 (freq. 3/3) 192.168.40.2   MASTER
DMZ 46 (freq. 3/0) 2a02:8106:39:e601::2   MASTER
LAN 50 (freq. 3/3) 192.168.50.2   MASTER
LAN 56 (freq. 3/0) 2a02:8106:39:e605::2   MASTER
MEDIA 150 (freq. 3/3) 192.168.150.2   MASTER
MEDIA 156 (freq. 3/3) 2a02:8106:39:e615::2   MASTER
IOT 124 (freq. 3/3) 192.168.24.2   MASTER
IOT 126 (freq. 3/3) 2a02:8106:39:e624::2   MASTER
VMWARE 248 (freq. 3/3) 192.168.48.2   MASTER
VMWARE 246 (freq. 3/3) 2a02:8106:39:e648::2   MASTER
why are some in freq. 3/0? What does it mean?

on the backup CARP i see this:

Code Select Expand

DMZ 40 (freq. 4/103) 192.168.40.2   BACKUP
DMZ 46 (freq. 4/0) 2a02:8106:39:e601::2   BACKUP
LAN 50 (freq. 4/103) 192.168.50.2   BACKUP
LAN 56 (freq. 4/100) 2a02:8106:39:e605::2   BACKUP
IOT 124 (freq. 4/103) 192.168.24.2   BACKUP
IOT 126 (freq. 4/103) 2a02:8106:39:e624::2   BACKUP
MEDIA 150 (freq. 4/103) 192.168.150.2   BACKUP
MEDIA 156 (freq. 4/103) 2a02:8106:39:e615::2   BACKUP
VMWARE 246 (freq. 4/103) 2a02:8106:39:e648::2   BACKUP
VMWARE 248 (freq. 4/103) 192.168.48.2   BACKUP
Greetz

Hi all

I have set up IPv6 and CARP and have a strange problem on the CARP backup instance. When I want to perform an update, the backup OpnSense tries to update the packages over IPv6 first, which times out, so I always get:

Code Select Expand

opnsense-update -V -k
...
(long time til timeout)
Fetching kernel-25.1.1-amd64.txz: .+ mkdir -p /var/cache/opnsense-update/81289
+ opnsense-fetch -T 30 -q -o /var/cache/opnsense-update/81289/kernel-25.1.1-amd64.txz.sig https://mirrors.dotsrc.org/opnsense/FreeBSD:14:amd64/25.1/sets/kernel-25.1.1-amd64.txz.sig
..............................[fetch: transfer timed out
fetch: /var/cache/opnsense-update/81289/kernel-25.1.1-amd64.txz.sig appears to be truncated: 0/1332 bytes]+ exit_msg ' failed, no signature found'

The 'truncated' message appears every time. I can manually download and install the files (sig and kernel), but it works only when done over IPv4.

The funny thing is, when I temporarily run pfctl -d on the (!) master OpnSense, everything works over IPv6 on the backup OpnSense. I have checked three times, there are no rules that would prohibit IPv6 on the backup OpnSense. Otherwise, everything works normally on the master and also on the hosts behind it (IPv4 and IPv6).

Have I forgotten any extra 'switch'? Does anyone know this problem?

Thx in advance for any tips!

Greetz

Hallo Alle,

ich habe IPv6 und CARP eingerichtet und habe ein seltsames Problem auf der CARP Backup Instanz.
Wenn ich update machen will, versucht die Backup OpnSense natürlich zu erst über IPv6 die Pkgs upzudaten und dies timed aus, somit bekomme ich immer

Code Select Expand

opnsense-update -V -k

...
(hier dauerts recht lange wegen timeout)
Fetching kernel-25.1.1-amd64.txz: .+ mkdir -p /var/cache/opnsense-update/81289
+ opnsense-fetch -T 30 -q -o /var/cache/opnsense-update/81289/kernel-25.1.1-amd64.txz.sig https://mirrors.dotsrc.org/opnsense/FreeBSD:14:amd64/25.1/sets/kernel-25.1.1-amd64.txz.sig
..............................[fetch: transfer timed out
fetch: /var/cache/opnsense-update/81289/kernel-25.1.1-amd64.txz.sig appears to be truncated: 0/1332 bytes]+ exit_msg ' failed, no signature found'

Die "truncated" Meldung bekomme ich jedes mal. Ich kann die Files (sig und kernel) per Hand downloaden und normal installieren aber eben wenn's über IPv4 läuft.

Das lustige ist, wenn ich auf der (!) Master OpnSense, temporär pfctl -d ausführe, dann klappt auch alles über IPv6 auf der Backup OpnSense.
Ich habe schon 3x geprüft, irgendwelche Rules habe ich nicht die IPv6 von der Backup OpnSense verbieten würden. Sonst geht alles normal auf der Master und auch den Hosts dahinter (IPv4 und IPv6).

Habe ich irgendeinen extra "Schalter" vergessen? Kommt jemanden das Problem bekannt vor?
Bin über jeden Hinweis dankbar!

Greetz

Hi Alle,

irgendwie ist es seltsam IPv6 Freigaben auf der Fritzbox zu konfigurieren. Ich habe es mit tricksen, sprich NAT (jaaaaaaa ich weiß, ich mags auch nicht) geschafft aber vielleicht habe ich was übersehen wie es besser gehen kann. Man lernt nie aus...

Meine Konfiguration:
Fester Präfix von ISP: 2a02:****:****:e600::/56
6 interne Netze konfiguriert: 2a02:****:****:e602::/64, 2a02:****:****:e604::/64, 2a02:****:****:e605::/64, 2a02:****:****:e615::/64, 2a02:****:****:e624::/64, 2a02:****:****:e648::/64

Jetzt wollte ich eine Freigabe für einen Host mit der IPv6 2a02:****:****:e605::90 konfigurieren...
Man kann auf der Fritz nur ein IPv6 Interface ID eingeben bei Freigaben im Format: ::****:****:****:****
Daraus baut es IMMER die 1ten 4 Octets aus dem Präfix also 2a02:****:****:e6000 und eben die Interface ID

Das klappt dann so nicht mit 2a02:****:****:e605::90

Ich habe es so gelöst, dass ich der opnsense an dem Iface was mit der Fritz verbunden ist eine IPv6 aus dem 2a02:****:****:e600::/64 Bereich vergeben habe und weiter NATe ich die 2a02:****:****:e605::90.
Nicht elegant aber es tut...

Wie könnte man es anders machen?

Mir fällt gerade ein ich könnte die Netze anders bauen, sprich z.B.
2a02:****:****:e600:0002:/72, 2a02:****:****:e600:0005:/72... Dann wäre eine Interface ID mit 2a02:****:****:e600:: gültig...
Würde das so gehen? Ich mag NAT nicht :)

Es gäbe noch den Weg über Freetz. Würde das mehr Möglichkeiten bringen? Die Box ist aber Eigentum von ISP, würde die ungern "anfassen" wollen.

Danke für Ideen und Vorschläge
Greetz

Hi all,

Since the last version, I've noticed a strange behavior in the monitoring of an IPv6 gateway. When I enable it, I see the following error:

Code Select Expand

[meta sequenceId="3"] /usr/local/sbin/pluginctl: The command '/sbin/route add -host -'inet6' '2001:4860:4860::8888' 'fd00::52e6:36ff:fe01:3dca'' returned exit code '1', the output was 'add host 2001:4860:4860::8888: gateway fd00::52e6:36ff:fe01:3dca fib 0: Invalid argument'However, I can manually set the route with:

Code Select Expand

route add -host -inet6 2001:4860:4860::8888 gw fd00::52e6:36ff:fe01:3dca dev vlan0.0004and everything seems to work normally. But in the WebUI, the gateway is marked as orange at status, and when I hover over it, I get the message: "Misconfigured gateway IP".
Has anyone else experienced this behavior? I wanted to ask here before filing a bug report.

TiA
Greetz

Hi All,

Does crowdsec also replace the DNSBL of Unbound or the lists from Firehol & co? Or are these more complementary things?

TiA

Hi All,

After configuring IPv6, a RedHat program started behaving strangely (long waiting for a timout). I checked it with strace and found that it was trying to reach the address: 64:ff9b::d184:b210. I identified this as a NAT64 address of a Red Hat host. When I opened a ticket with Red Hat, they told me that the program does not support IPv6 and asked if I had configured NAT64/DNS64. I had not. Now I am trying it with Tayga, but something is not working.

The first question is, I use both ipv4 and ipv6 in my LAN. Do I need to configure NAT64? I read that you only need NAT64 if you have at least an IPv6-only network.
If that's the case, is Red Hat doing something wrong, or is it my router configuration that's messed up?

Second:
This is my Tayga Configuration:
IPv4 Address 192.168.254.3 (not used somwhere else)
IPv4 NAT64 Interface Address 192.168.253.1 (not used somwhere else)
IPv6 Address fd00:14::1
IPv6 NAT64 Interface Address 2a02:XXXX:XX:XX00:0::1 (I've got the prefix from my ISP: 2a02:XXXX:XX:XX/56)
IPv6 Prefix 64:ff9b::/96
IPv4 Pool 192.168.254.0/24
Custom IPv6 Routing not checked

(NAT, Normalization and FW Rule for Tayga Iface are configured)

Problem:
# traceroute6 64:ff9b::d184:b210
traceroute6 to 64:ff9b::d184:b210 (64:ff9b::d184:b210) from 2a02:XXXX:XX:XX00::1, 64 hops max, 28 byte packets
1  fd00:14::1  0.124 ms  0.103 ms  0.191 ms

# ping6 64:ff9b::d184:b210
PING(56=40+8+8 bytes) 2a02:XXXX:XX:XX00::1 --> 64:ff9b::d184:b210
--- 64:ff9b::d184:b210 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss

What I'm doing wrong?

TiA
Greetz

Hi all,

I have received a static IPv4 and a static IPv6 prefix from my internet provider. IPv4 is clear so far. I have a few questions about IPv6.

My setup:
ISP -> Fritzbox -> OPNsense -> LAN
Fritzbox and OPNsense are together in a DMZ (IPv4). The Fritzbox forwards everything to OPNsense (exposed host).

Is such a setup also possible with IPv6? I tried to create a /64 IPv6 DMZ network with the prefix from the ISP. OPNsense has an IPv6 address there, and I specified the fe80:: address of the Fritzbox as the gateway. I would prefer to avoid RA/DHCPv6 etc. and have everything static. Unfortunately, with this setup, I can only ping the fe80:: address of the Fritzbox from OPNsense but nothing in internet.
Am I thinking something wrong? I have some knowledge of IPv6, but I lack experience :)

Can someone help or recommend a how-to?

TiA
Greetz

Hallo,

ich habe 2 WG Verbindungen (Mullvad) in verschiedene Länder. Dies funktioniert soweit für einzelne Hosts aus meinem LAN (getestet).

Was ich seltsam finde, wenn ich sowas wie "curl --interface wg1 $url" oder "curl --interface $mullvad_iface_ip $url" an der Konsole ausführe greift er immer mit meiner "normalen" public IP und nicht mit der IP aus dem jeweiligem Ende des WG Tunnels...
Wieso? Was könnte mir da fehlen?

Es gibt je eine FW Rule für alle nicht private IP Hosts als Ziel auf jeweiligem Mullvad Interface mit GW über das Mullvad Interface und je eine NAT Rule die alles am Mullvad Iface auf die Iface Adresse NATed. Wie gesagt Hosts aus dem LAN funktionieren mit so einer Rule aber wieso nicht die IP's die direkt am wgX Interface hängen?

Auf Anfrage kann ich auch mehr Infos liefern...

Vielen Dank für eure Antworten im Voraus!

Hi

I've a problem with CARP and Wireguard. If my fallback opnsense runs (CARP Backup) then seems that Wireguard lost some UDP datagramms. If I turn it off, then it works ok.
It seems the lose of the datagramms depends on the keepalive interval.
Does someone know such a problem?

Greetz

Hi

I have problems since 23.x with one CARP interface. I've 4 of them and one starts on the fallback opnsense initiali in BACKUP status and then after 4-5s it changes to MASTER (with active master on the primary opnsense).
3 other CARP interfaces doesnt have this problem.

I dont have changed the configuration, only update from last 22.x to 22.1 and after this to 22.1_6
It is a known bug?

Greetz

Hi,

hat jemand die obige Konfiguration am laufen? Irgendwie will es hier nicht... Andere Dienste von der Syno (z.B. nextcloud über webstation) kein Problem. Bei dem Mail Plus Client bekomme ich so eine Seite angezeigt wenn ich es von außen anspreche:

<!DOCTYPE html>
<html>
  <script type="text/javascript">
    var uri = location.pathname + location.search + location.hash;
    var URL = 'https://' + location.hostname + '' + uri;
    location.replace(URL);
  </script>
</html>

ich denke da ist was mit JS was nicht richtig interpretiert wird... HAt jemand sowas am laufen und kann helfen? Configauszug reicht ;)

Vielen Dank im Voraus!
Greetz

Hallo

ich muss aus bestimmten Gründen beide Borderrouter die mit den IPS's verbunden sind in ein gleiches VLAN packen. Bei 2 verschiedenen VLANs war es kein Problem IPv6 von beiden ISP's zu den 2 Interfaces via DHCPv6 zugewiesen zu bekommen.
Jetzt aber soll ich 1 Interface haben, was dann mit beiden Borderroutern kommunizieren soll. IPv4 Gatewaytechnisch scheint es bei Opnsense kein Problem sein.
Aber was ist mit IPv6? Wie kann die gleiche Schnittstelle 2x DHCP IPv6 Adresse bekommen... Geht es?
Oder muss ich eine Art Alias IP einrichten und die getrennt behandeln?

Hat jemand schon mal sowas gemacht und kann ein bisschen Licht ins Dunkel bringen? :D

Greetz

Hi all

HAproxy seems to have a bug in the last version of opnsense (OPNsense 19.1.10-amd64)
It hangs if it is running longer than 12-24h...

It answers the connection (check with telnet) but it sends no data. I havent found the error in log yet...

It is not possible to restart it with service command, I need to kill -9 the pid and then I can start it with service.

Greetz

Hi

it would be nice to have the possibility to build config as IPsec client with:

  eap_identity = "myusername"
  leftauth = eap-mschapv2
  rightauth = pubkey
  rightca = "cacert"

NordVPN uses someting like that...

TiA
Greetz

Hi

it is possible to define own NAT/FW Rules? I have configured a IPsec connectiion to my VPN Provider outside the WebUI (becaues of ms-eap auth) and this creates an interface tun0. I dont 'see' this interface in the WebUI but need some NAT/FW Rules for it.
Is there somewhere a file/dir where I can define own rules?

Greetz

Hi

ich habe eine Verbindung zu einem VPN Provider außerhalb de WebUI konfiguriert. Da der VPN Provider eap-mschapv2 als Auth benutzt, sah ich keine Möglichkeit dies über die WebUI machen zu können... (vielleicht hat jemand einen Tip wie man es doch machen kann?)

Die Verbindung steht und hat auch ein Interface tun0 erstellt.
Jaaa aber wie gehst weiter?
Normalerweise würde ich jetzt einen Gateway erstellen und dann entsprechende Rules und NAT
Aber das Interface taugt natürlich nirgendwo in der WebUI auf...

Wie macht man sowas dann? Bzw. was wäre der richtige Weg für sowas?

Meine IPsec Config liegt in /usr/local/etc/ipsec.opnsense.d/my.conf

Code Select Expand


conn con10
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  eap_identity = "mangel@gmx.de"
  leftauth = eap-mschapv2
  left = %defaultroute
  leftsourceip = %config
  forceencaps = yes
  right = pl82.nordvpn.com
  rightauth = pubkey
  rightsubnet = 54.204.25.0/28,23.23.189.144/28,34.195.253.0/25
  rightid = pl82.nordvpn.com
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"
  type=tunnel
  auto=start


(ja ich weiß NordVPN geht über OpenVPN, ich will es aber über IPsec versuchen)

Kann jemand helfen?

Hi

it is ok to put own config for ipsec at /usr/local/etc/ipsec.opnsense.d/my.conf ?
(I cant set it up with WebUI)

Greetz

Hi

it is possible to setup NordVPN with ipsec on opnsense via WebUI?

The recommended settings are:

conn NordVPN
  keyexchange=ikev2
  dpdaction=clear
  dpddelay=300s
  eap_identity="USERNAME"
  leftauth=eap-mschapv2
  left=%defaultroute
  leftsourceip=%config
  right=SERVER
  rightauth=pubkey
  rightsubnet=0.0.0.0/0
  rightid=%SERVER
  rightca=/etc/ipsec.d/cacerts/NordVPN.pem
  type=tunnel
  auto=add

https://nordvpn.com/de/tutorials/linux/ikev2ipsec/

If it isnt possible over WebUI, where should I put the config?

(I know NordVPN works with OpenVPN but dont want OpenVPN)

TiA
Greetz

Hi All!

I have created a 'extern' interface group with 2 WAN interfaces (have cable and vdsl).
And now if I set a NAT port forward rule to this extern interface, it works only on cable WAN and not on vdsl WAN...

It is a bug?

Greetz